Menü
Mac & i

Schwachstelle im Mac-Schlüsselbund: Details nun doch an Apple übermittelt

Die Lücke sei zu schwer, um weiter auf eine Reaktion von Apple zu warten, so der Sicherheitsforscher. Gefordert wurde ein Bug-Bounty-Programm.

vorlesen Drucken Kommentare lesen 89 Beiträge
Hacker

(Bild: dpa, Silas Stein)

Apple wurde über die Details zu einer kritischen Schwachstellen im Schlüsselbund von macOS in Kenntnis gesetzt, wie der Sicherheitsforscher Linus Henze mitteilte. Er habe die Lücke inzwischen "ehrenamtlich" an den Mac-Hersteller gemeldet und auch Informationen zu deren Beseitigung weitergegeben, um so einen möglichst schnellen Bugfix durch Apple zu ermöglichen, erklärte Henze gegenüber Mac & i.

Das Sperren des Schlüsselbundes verhindert ein Auslesen der Daten – ist im Alltagseinsatz aber sehr lästig, da ständig das Passwort zum Entsperren eingegeben werden muss.

Er habe die Diskussion um ein fehlendes Bug-Bounty-Programm nicht auf dem "Rücken der Nutzer" austragen wollen, so der Sicherheitsforscher, die Lücke sei schließlich zu kritisch.

Henze hatte Anfang Februar eine Schwachstelle im zentralen Schlüsselbund des Betriebssystems demonstriert, die bis hin zur aktuellen Version macOS Mojave 10.14.3 besteht. Eine manipulierte App ist darüber in der Lage, sämtliche im Mac-Schlüsselbund gespeicherten Zugangsdaten des Nutzers auszulesen, mitsamt der Passwörter im Klartext – und selbst der dort gespeicherten "Sicheren Notizen".

Der Sicherheitsforscher hat keinen Exploit zum Ausnutzen der Schwachstelle veröffentlicht, die Lücke ursprünglich aber auch nicht an Apple weitergegeben, um den Konzern dazu zu bringen, für schwere Schwachstellen in macOS auch zu bezahlen – wie es für iOS-Lücken bereits der Fall ist. Henze bot Apples Sicherheits-Team wenig später an, Details zu der Lücke zu verraten, wenn der Konzern erklärt, warum es bislang kein Bug-Bounty-Programm für macOS gibt – eine Reaktion sei nicht erfolgt.

Er hoffe nun, dass Apple zum Beseitigen der Schwachstelle nicht "genauso lange benötigt, wie zum Formulieren einer Antwort", so Henze. Sicherheitsforscher kritisieren seit längerem, dass Apple für das Auffinden schwerer Fehler in macOS nicht bezahlt: Vor einem Jahr wurde deswegen sogar ein Zero-Day-Exploit für macOS veröffentlicht, der es einem Angreifer ermöglichte, die Kontrolle über den Mac zu übernehmen, sobald der Nutzer eine manipulierte Software ausführt. (lbe)