Ein neu entdeckter Fehler in MacOS soll das Auslesen sämtlicher Schlüsselbund-Passwörter ermöglichen, wie "Heise"
berichtet. Ein Sicherheitsforscher hätte einen Weg gefunden, wie durch eine manipulierte, unsignierte App alle Passwörter in Reintext aus der Keychain ausgelesen werden können. Für den Zugang seien keine Admin- oder Root-Rechte vonnöten, eine Anmeldung des lokalen Users ist demnach ausreichend. Betroffen sind MacOS-Versionen bis zu 10.14.3. Mojave, wie es weiter heisst.
Brisant ist auch, dass bislang keine Lösung in Sicht ist, weil Apple den Exploit zu diesem Zeitpunkt noch nicht nachvollziehen kann. Der Sicherheitsexperte Linus Henze, der den Fehler gefunden hat, übermittelte bisher keine Details an
Apple. Als Grund gibt er das komplette Fehlen eines Bug-Bounty-Programms für MacOS-Sicherheitslücken an. Apple lässt Sicherheitsforscher, die einen Fehler im Betriebssystem finden, bisher leer ausgehen, unabhängig der Tragweite der gefundenen Lücke. Bei iOS werden bislang nur schwerwiegende Lücken prämiert. Die Bug-Jagd auf Apple-Systemen ist für Experten im Moment somit aktuell unattraktiv, ob das Zurückhalten der Details als Protestaktion etwas ändert, ist jedoch noch offen.
(win)