Menü
Mac & i

Schwachstelle in Chrome RDP für macOS: Gast kann vollen Remote-Zugriff erhalten

Ein Fehler in Googles Fernwartungs-Tool Chrome Remote Desktop kann es Unbefugten ohne Kenntnis eines Passwortes ermöglichen, einen aktiven Nutzer-Account auf dem entfernten Mac zu übernehmen, warnen Sicherheitsforscher.

Von
vorlesen Drucken Kommentare lesen 16 Beiträge
Chrome Remote Desktop Mac

Der Gast sollte eigentlich nur den Gastzugang zu Gesicht bekommen, kann aber Zugriff auf einen aktiven Benutzer-Account erhalten – ohne das Passwort eingeben zu müssen.

(Bild: Check Point Research)

Ist ein Mac mit Googles Fernwartungs-Software Chrome Remote Desktop freigegeben, können Dritte auch ohne Kenntnis des Passwortes auf einen angemeldeten Benutzer-Account zugreifen und erhalten so mitunter "vollen Zugriff", warnt die Sicherheitsfirma Check Point Research. Das Problem trete in bestimmten Fällen auf, wenn auf dem freigegebenen Mac der Gastzugang eingerichtet ist.

Über Chrome Remote Desktop könne man sich auf dem entfernten Mac dann einfach ohne Passwort als Gast anmelden. Bedingt durch einen Bug erhalte man statt des begrenzten Gastzugangs von macOS dadurch aber Zugriff auf einen angemeldeten Nutzer-Account, wie die Sicherheitsforscher warnen. In macOS handelt sich dabei meist um einen Admin-Account, wenn der Besitzer dies nicht manuell geändert hat.

Auf dem entfernten Mac werde dabei wie erwartet der Desktop des Gastzugangs angezeigt, merkt die Sicherheitsfirma an, der Angreifer sehe stattdesssen jedoch den Schreibtisch eines angemeldeten Benutzers und erhalte so “vollen Zugriff” ohne dafür dessen Passwort kennen zu müssen.

Man habe den Fehler in Chrome Remote Desktop schon Mitte des vergangenen Monats an Google gemeldet und als Antwort erhalten, der Login-Screen von macOS falle nicht unter den “Sicherheitsbereich” des Fernwartungs-Tools, schreibt Check Point Research. Deshalb habe man sich nun zur Veröffentlichung entschlossen, um Nutzer auf dieses Risiko aufmerksam zu machen.

Nutzer können sich vor einem derartigen Angriff schützen, indem sie den aktivierten Gastzugang in den Mac-Systemeinstellungen unter Benutzer & Gruppen wieder abschalten. Standardmäßig ist dieser aus. Der Gastzugang erlaubt Dritten, sich an einem Mac ohne Passwort anzumelden und begrenzt mit dem Computer zu arbeiten ohne dabei auf Daten anderer Benutzer zugreifen zu können – etwa um schnell etwas im Browser recherchieren zu können. (lbe)