Patrick Wardle macht sich hier einen kleinen Spaß: Ein Bug-Bounty-Programm für den Mac fehlt immer noch. (Bild: Patrick Wardle)

Am Abend der Freigabe hat ein bekannter Security-Forscher einen Bug benannt, mit dem sich neue Sicherheitsmechanismen in macOS 10.14 umgehen lassen.

Der bekannte Mac-Sicherheitsexperte Patrick Wardle hat eine Zero-Day-Lücke in macOS 10.14 alias Mojave entdeckt. Der Bug steckt auch noch in der am Montag erschienenen ersten öffentlichen Version des neuen Betriebssystems.

Aktuelle Finalversion von Mojave ist betroffen

Wie der Security-Forscher in einem Video demonstriert, ist es möglich, die neuen Privatsphären-Schutzmaßnahmen in Mojave zu umgehen. Diese sollen eigentlich dazu dienen, dass Apps nicht mehr ohne Nachfrage Zugriff auf sensible Dinge wie das macOS-Adressbuch haben sollen. Wardle gelang es nun aber letzteres auszulesen – und zwar mit Hilfe einer Anwendung, für die kein Administratorzugriff benötigt wird. Der Fehler sei "trivial", lasse sich aber in 100 Prozent der Fälle verlässlich ausnutzen.

Mojave-Zero-Day-Lücke (Video: Patrick Wardle).



Verwirrende Dialoge sollen Nutzer schützen

macOS 10.14 kommt mit einer Reiher neuer Absicherungen, die das System insgesamt sicherer machen sollen. Neben dem Adressbuch wird unter anderem auch die E-Mail-Datenbank geschützt. Weiterhin werden Nutzer darüber informiert, wenn eine Anwendung eine andere fernsteuern möchte, was jedoch mit Windows-Vista-artigen und teils unverständlichen Dialogen erfolgt, wie Entwickler im Rahmen des Mojave-Betatests warnten. Wardle hatte schon zuvor darauf aufmerksam gemacht, dass Apples neue Schutzmaßnahmen in Mojave das Potenzial zur Umgehung hätten.

Keine Bugjäger-Gelder für macOS-Lücken

Der Sicherheitsforscher hatte in der Vergangenheit zusammen mit anderen Kollegen den Mac-Hersteller scharf dafür kritisiert, dass dieser sein Bug-Bounty-Programm nach wie vor nicht für macOS anbietet. Im Januar wollte Wardle deshalb eine problematische Schwachstelle in Grafikkartentreibern publizieren, um Druck auf den Konzern auszuüben. Getan hat sich seither allerdings nichts. Nähere Angaben zur jetzt entdeckten Lücke, mit der sich mindestens das Adressbuch exfiltrieren lässt, will Wardle auf der "Objective by the Sea"-Konferenz in Hawaii machen, die er selbst im November erstmals veranstaltet. (bsc)