Sicherheitslücke: macOS High Sierra - Unsignierte Apps können Passwörter auslesen

[Michael Reimann]

Sicherheitslücke: macOS High Sierra - Unsignierte Apps können Passwörter auslesen

Apple hat am Abend seine neuste Version von macOS herausgegeben. macOS High Sierra ist mehr ein Update, als eine völlig neue Version. Dennoch hat Apple wohl eine gravierende Sicherheitslücke im System hinterlassen. Wir haben daher eine Sicherheitswarnung für euch.

Der Twitter-User Patrick Wardle hat herausgefunden, dass eine unsignierte macOS-App Zugriff auf die Keychain (Schlüsselbund) bekommen kann und darin die gespeicherten Passwörter im Klartext auslesen kann.

on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords) vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq


— patrick wardle (@patrickwardle) September 25, 2017​

Update-Warnung


In dem eingebetteten Video demonstriert es das Vorgehen. Diese Sicherheitslücke kann als sehr kritisch eingestuft werden. Wer nicht unbedingt auf macOS Sierra angewiesen ist und gelegentlich Apps verwendet, die nicht aus dem offiziellen App-Store kommen, sollte mit dem Update warten.

 

[meru]

Und mit der Veröffentlichung von dieser Lücke wartet man bis zum rollout des Systems ?

 

[charybdis75]

Das heißt: wenn ich den Schlüsselbund nicht nutze, ist es kein Problem für mich?

 

[Mitglied 25554]

Es hätte vermutlich auch sein können, dass in der Final dieser Fehler beseitigt wurde ... was er wohl nicht ist

 

[Michael Reimann]

Kann man denn das Schlüsselbund nicht nutzen? Wlan-Pws sind doch meines Wissens da drin. Aber ich denke @.holger kann da qualifizierter antworten.

 

[maddi06]

Wenn sie es in der Betaversion nicht schließen ist alles richtig so. Man muss Apple ja auch noch Zeit geben. Wenn Sie es dann doch ausrollen,- Glückwunsch Apple...

 

[u0679]

Damit ist das Update für mich erstmal gestrichen.

 

[echo.park]

Also wer nur Apps aus dem App Store installiert, sollte kein Problem haben.

Oder eben seriöse Apps wie Office direkt von Microsoft, mal als Beispiel.

Edit:
Wie können unsignierte Apps überhaupt ausführbar sein?!

 

[MichaNbg]

Und mit der Veröffentlichung von dieser Lücke wartet man bis zum rollout des Systems ?

Wäre nicht das erste Mal, dass der Entdecker einer solchen Lücke dem Unternehmen diese mehrfach gemeldet aber keine Antwort erhalten hat. Und nachdem das Release jetzt eben nicht nur an Beta-Tester, die eigentlich wissen sollten worauf sie sich einlassen, sondern an Otto Normal und Unternehmen verteilt wird, bleibt einem dann nichts anderes übrig als "Mooooooomendammoll... da bassd fei was ned!" zu rufen.

Natürlich rein hypothetisch.


Wobei ich mich gerade frage, wie Apple die Keychain bitte "sichert"?! WTF...

 

[.holger]

Solange man keine Programme aus unseriösen Quellen nutzt sollte man sicher sein. Das Programm muss ja aktiv angestoßen werden um die Daten auslesen zu können.

 

[Reap]

Haha das läuft ja wie am Schnürchen in Cupertino.
Also neben iOS 11 auch kein High Sierra für mich.

 

[echo.park]

Solange man keine Programme aus unseriösen Quellen nutzt sollte man sicher sein. Das Programm muss ja aktiv angestoßen werden um die Daten auslesen zu können.

So ist es.

Und ich wette noch bis Ende der Woche, spätestens Anfang nächster Woche gibt es einen Fix.

 

[meru]

Super die Installation läuft Beine jetzt schon über 1,5h und braucht noch 0,25 h dann kann ich heute Nacht alles wieder rückgängig machen...... super gemacht apple

 

[Balkenende]

Oder Du installierst bzw. aktualisiert jetzt nichts außerhalb des AppStores.

 

[.holger]

Worst Case Szenario:

Man benutzt ein Programm das automatisch gestartet wird (z.B. ein Tool in der Menüzeile) und einen automatischen Updatedienst (SPARK z.B.) eingebaut hat. Dieses Tool kommt nicht aus dem App Store sondern von der Webseite eines bekannten Entwicklers.
Jetzt wird Updateserver des Entwicklers übernommen und eine Version seines Tools hochgeladen (sowas was neulich mal bei Handbrake passierte), dass diese Lücke ausnutzt und die Daten übers Netz schickt.

Dann sind die Daten aus der Keychain (inkl. Kreditkarteninformationen falls dort abgelegt) weg.

 

[Balkenende]

Ja, das ist Worst case mit denkbar schlimmsten Variante im Quadrat.

Ich bin ohnehin kein Freund von .0-Versionen. Gerade da kann es mal Überraschungen geben.

Auf die würde ich es auch nicht ankommen lassen wollen.

 

[echo.park]

Das ist aber in der Tat sehr unwahrscheinlich.

Hier wird zu viel Panik geschoben. Es ist wie immer, eine App aus unseriöser Quelle, vom User selbst gestartet, treibt Schabernack.

Diesmal ist eben der Schlüsselbund dran.

https://www.macrumors.com/2017/09/25/macos-high-sierra-security-vulnerability/

Es können auch frühere Versionen von macOS betroffen sein.

Zudem wurde der Exploit bisher nicht vollständig veröffentlicht.

Edit:
Sorry, Doppelpost.

 

[Balkenende]

Wenn das in früheren Versionen vorhanden ist - mich würde es wundern, wenn es nicht so wäre - ist zu hoffen, dass wenigstens El Capitan und Sierra auch schnell Patches erhalten.

 

[echo.park]

https://mobile.twitter.com/patrickwardle/status/912392633909047296

Mit dem Update zu warten ist in diesem Fall zwecklos.

Leute, nicht gleich überreagieren. Es ist kein spezifisches High Sierra Problem. Der „Entdecker“ hat es bestätigt.

 

[ottomane]

Und signierte Anwendungen können die Keychain nicht auslesen? Oder dürfen diese das ohnehin?