Angeblich neue kritische Lücke im macOS Schlüsselbund

Jan Gruber · 06.02.19

Nach dem FaceTime-Fehler vergangene Woche gibt es jetzt Gerüchte rund um einen neuen Fehler, diesmal aber in macOS. Er ist dabei nicht weniger kritisch - angeblich können Mac-Apps den Schlüsselbund auslesen. Das ganz ohne Admin-Rechte bzw. die Eingabe eines Passworts.

Der Fehler soll von einem Sicherheitsforscher gefunden worden sein, er meldete ihn via Twitter. Solange ein Nutzer im System angemeldet ist, sollen manipulierte Apps die Inhalte des Schlüsselbunds auslesen können.

Remember KeychainStealer by @patrickwardle which can steal all your keychain passwords?
While his vulnerability is patched now, I've found a new one, affecting macOS Mojave and lower.
More information can be found in my video:https://t.co/wBQL2s6v7z #OhBehaveHack #OhBehaveApple

— Linus Henze (@LinusHenze) 3. Februar 2019

macOS Schlüsselbund und keine Bug Bounty

Anders als im Fall des FaceTime-Fehlers gibt es für macOS leider kein Bug Bounty Programm. Dementsprechend möchte der Forscher Apple den Fehler erst im Detail mitteilen, wenn er eine Prämie erhält.

Mure77 · 06.02.19

Es wird etwas erfunden und der Hersteller wird den Zugang haben, wer Ahnung hat und was am Rechner kann der wird da auch irgendwie Zugang finden.

Das ist programmiert und nichts außerirdisch neues. Von daher ist die digitale Welt interessant und hat viele, viele Möglichkeiten, wo viel Licht ist, ist halt auch viel Schatten. Natur der Dinge.

Mitglied 87291 · 06.02.19

@Mure77

Naja, trotzdem sollte sowas mit einer vernünftigen Rechtevererbung nicht möglich sein. Dass es momentan bei Mac OS immer wieder Probleme mit kritischen Elementen gibt ist schon auffällig.

Und ein programm auf einen Rechner zu bekommen, oder ein manipuliertes, ist immernoch ein realistisches Szenario...

u0679 · 06.02.19

Reemo schrieb:
@Mure77
Dass es momentan bei Mac OS immer wieder Probleme mit kritischen Elementen gibt ist schon auffällig....

Leider ist das bei Microsoft nicht anders, wie ich täglich auf Arbeit feststellen muss. Die Qualität bei beiden großen OS Entwicklern leidet zu sehr zu Gunsten der halb. Bzw. jährlichen Upgrade Politik.

ottomane · 06.02.19

u0679 schrieb:
Leider ist das bei Microsoft nicht anders, wie ich täglich auf Arbeit feststellen muss.

Das stimmt, macht den Fehler aber leider auch nicht besser.

Mure77 · 06.02.19

ottomane schrieb:
Das stimmt, macht den Fehler aber leider auch nicht besser.

Der Beitrag hat eine andere Aussage als nur diese. Die Kritik im weiteren Verlauf war zu entnehmen.

Shadow_74 · 06.02.19

Ich sage nur DASHLANE! Nutze es nach Jahren von 1Password und bin überzeugt.

Jan Gruber · 06.02.19

Hm denke ich auch - also das es schlauer wäre nicht unbedingt die Keychain für all seine Passwörter zu nutzen.
Nicht das ich Apple jetzt so mißtraue - aber ich bin in dem Fall ein Fan von Trennung =)

Meine Kritik wäre ne ganz andere. Was zum Teufel - warum gibts kein Bug Bounty für macOS?!

Aber die Kritik hab ich schon lange

Leberkasbepi · 06.02.19

Shadow_74 schrieb:
Ich sage nur DASHLANE! Nutze es nach Jahren von 1Password und bin überzeugt.

Kannst du deine Erfahrungen Mitteilen, weshalb Dashlane so besonders sein soll? Bin da immer Skeptisch was das Speichern von Passwörten angeht.

PitiL · 06.02.19

Jan Gruber schrieb:
... warum gibts kein Bug Bounty für macOS?!

Zu teuer!?

Maytek · 07.02.19

Das Video dass er da veröffentlich hat ist aber auch absolut nichtssagend und kein Beweis dass da wirklich irgend ein Fehler gefunden wurde, hätte er sich so auch sparen können. Ist dasselbe wie wenn er einfach nur gesagt hätte "Ich hab einen Bug gefunden den Keychain auszulesen - Fertig"

Mitglied 87291 · 07.02.19

@u0679
Ist das so? Bin auch recht viel in der Windows-welt unterwegs und von solchen kritischen Lücken höre ich in letzter Zeit eigentlich so gut wie nie.

staettler · 07.02.19

Shadow_74 schrieb:
Ich sage nur DASHLANE! Nutze es nach Jahren von 1Password und bin überzeugt.

Ebenso kannst du auch Enpass oder Lastpass nutzen.

Mac 2.2 · 07.02.19

staettler schrieb:
Ebenso kannst du auch Enpass oder Lastpass nutzen.

Ich werf auch noch was rein: KeePassX. Sieht zwar altbacken aus, erfüllt aber seinen Zweck

Mitglied 105235 · 07.02.19

Verwende seit Jahren 1Password und bin damit immer noch sehr zufrieden. 1Password ist auch die einzige App bei der ich es eingesehen habe ein Abo zuzahlen, denn diese App nutze ich täglich mehrmals und das auf den Unterschiedlichsten Geräten.

iPhone, iPad, Mac und Windows Rechner.

u0679 · 07.02.19

Reemo schrieb:
@u0679
Ist das so? Bin auch recht viel in der Windows-welt unterwegs und von solchen kritischen Lücken höre ich in letzter Zeit eigentlich so gut wie nie.

In der Tat ist es die letzten Wochen ruhiger, dafür grätschen momentan fehlerhafte Updates dazwischen.

MichaNbg · 07.02.19

Gibt es eigentlich keine Möglichkeit, einfach mal macOS/iOS-Fehler ohne die übliche "aber unter Windows/Android..."-Ablenkung zu diskutieren? :rolleyes:

Mokotschombo · 07.02.19

MichaNbg schrieb:
Gibt es eigentlich keine Möglichkeit, einfach mal macOS/iOS-Fehler ohne die übliche "aber unter Windows/Android..."-Ablenkung zu diskutieren? :rolleyes:

aba aba dann is a ist Apple ja nicht besser....

Angeblich neue kritische Lücke im macOS Schlüsselbund

Chefredakteur Magazin und Podcasts

Golden Noble

Mitglied 87291

Gast

Moderator

Golden Noble

Golden Noble

Empire

Chefredakteur Magazin und Podcasts

Châtaigne du Léman

Damasonrenette

Riesenboiken

Mitglied 87291

Gast

Juwel aus Kirchwerder

Schweizer Orangenapfel

Mitglied 105235

Gast

Moderator

Bittenfelder Apfel

Leipziger Reinette

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)