Sicherheitslücke: macOS High Sierra - Unsignierte Apps können Passwörter auslesen

[echo.park]

Und signierte Anwendungen können die Keychain nicht auslesen? Oder dürfen diese das ohnehin?

Signiert oder unsigniert heißt ja nur, dass der Entwickler seine App mit seinem 99 €-pro-Jahr-Entwicklerzertifikat versehen hat, oder eben nicht. Entsprechend gibt Gatekeeper eine Warnung aus. Andere Unterschiede kann ich nicht genau benennen.

 

[ottomane]

Ja, aber warum schreibt Wardle ausdrücklich "unsigned" Apps. Was ist mit den signed Apps?

 

[echo.park]

Gute Frage.

 

[Synoxis]

Unsignierte Apps die nicht aus dem Store kommen muss man doch sowieso erst freigeben das die überhaupt geöffnet werden können?!? Wo ist also das Problem?

 

[ottomane]

Eben, daher frage ich mich ja auch, warum das mit signierten Apps anders sein soll bzw. wie das gemeint ist.

EDIT: Signierte Apps können die Keychain auch auslesen. Wardle hat das mit unsignierten Apps geschrieben, um zu zeigen, wie niedrig die Hürden sind.

 

[Chakobo]

Er schreibt unter seinem Tweet: "other versions of macOS are vulnerable too"
Macht also keinen wirklichen Unterschied ob Sierra oder High Sierra.

 

[floriano]

Wie deaktiviert man bei macOS die aut. Updates? Jeden Tag werde ich gefragt und verschiebe es immer auf "morgen".

 

[ottomane]

Wenn du es wegen der Lücke verschieben willst, kannst du es dir sparen. Sierra enthält sie auch.

 

[kelevra]

Eben, daher frage ich mich ja auch, warum das mit signierten Apps anders sein soll bzw. wie das gemeint ist.

EDIT: Signierte Apps können die Keychain auch auslesen. Wardle hat das mit unsignierten Apps geschrieben, um zu zeigen, wie niedrig die Hürden sind.

Normalerweise können nur signierte Apps überhaupt in die Keychain schreiben oder daraus lesen und müssen nachfragen. Des Weiteren soll so sichergestellt werden, dass Apps nur auf Inhalte zugreifen, die für sie bestimmt sind, bzw. auf die der User ihnen explizit Zugriff erlaubt. Üblicherweise kommt ein Dialog hoch, in dem steht "App X möchte Zugriff auf Information Y in der Keychain", erlauben? ja/nein.

Wardle hat wohl einen Weg gefunden, dies zu umgehen. Natürlich setzt an der Stelle auch Apples Gatekeeper ein und meldet sich mit dem typischen "App ist aus dem Netz und evtl. nicht sicher", was aber bekanntermaßen zu umgehen ist mit der Freigabe doch zu öffnen bzw. Rechtsklick → Öffnen.

 

[Papa_Baer]

Ich find die Lücke schon ganz schön krass und bin damit grad auch etwas überfordert. ich habe nicht so sehr viele Programme auf meinem Macbook aber der überwiegende teil ist schon von Entwicklerseiten. Mindestens ein Programm hatte ich letztens auch erst offen.

Bin jetzt ein wenig verunsichert was ich jetzt machen soll.

 

[echo.park]

Man kann den Schlüsselbund mit einem zusätzlichen Passwort sperren. Das soll den Zugriff unterbinden. Damit wird der Exploit verhindert.

 

[ottomane]

Update-Warnung
...
Wer nicht unbedingt auf macOS Sierra angewiesen ist und gelegentlich Apps verwendet, die nicht aus dem offiziellen App-Store kommen, sollte mit dem Update warten.

Leider ist diese Warnung nicht sinnvoll und währt die Nutzer älterer Versionen in falscher Sicherheit. Es sind alle halbwegs aktuellen Versionen betroffen.

EDIT: Habe hier was gelöscht - die alte "Version" der Sicherheitslücke ist in 10.13 behoben. Wardle hat eine neue Variante gefunden.

 

[Fresh_Prince]

Wie deaktiviert man bei macOS die aut. Updates? Jeden Tag werde ich gefragt und verschiebe es immer auf "morgen".

Systemeinstellungen/ App Store. Dort können alle Einstellungen wie immer schon getroffen werden.

 

[Michael Reimann]

Das mag alles sein. Ich fand es aber angemessen, darauf hinzuweisen. Jetzt wo das bekannter wird, steigt die Wahrscheinlichkeit das es ausgenutzt wird. Auch wenn dafür einige Voraussetzungen erfüllt sein müssen.

 

[ottomane]

Aber es ergibt keinen Sinn, vor diesem Hintergrund vor dem Update zu warnen. Sierra ist gleichermaßen betroffen.

 

[Michael Reimann]

Man kann den Schlüsselbund mit einem zusätzlichen Passwort sperren. Das soll den Zugriff unterbinden. Damit wird der Exploit verhindert.

Kannst Du kurz schreiben, wie man das macht? Wäre ein guter Tipp!

 

[echo.park]

Jetzt wo das bekannter wird, steigt die Wahrscheinlichkeit das es ausgenutzt wird.

Der eigentliche Exploit wurde nicht veröffentlicht!

Das hat der „Entdecker“ klar kommuniziert. Lediglich Apple wurde vollends eingeweiht.

Kannst Du kurz schreiben, wie man das macht? Wäre ein guter Tipp!

Schlüsselbund öffnen und das Schloss schließen.

Wobei ich das nie gemacht habe, ich kann mich täuschen. Wichtig ist im Endeffekt, dass ein anderes Passwort vergeben wird, wie das des Benutzers.

Vermutlich wird man dann aber permanent von Apps danach gefragt, die den Schlüsselbund nutzen.

 

[Fresh_Prince]

Naja. Vielleicht fixen sie es dann aber auch endlich mal. Manchmal ist es gut wenn man nochmal Aufmerksamkeit erzeugt. Auch bei höchst unwahrscheinlichen Szenarien. Werden sie sich dann wohl für 10.13.1 aufheben und das dann auch in die passenden Sicherheitsupdates für Sierra und El Capitan stecken. Yosemite ist ja ab Gestern altes Eisen.

 

[MichaNbg]

Ich hoffe mal nicht, dass Apple eine solche Lücke für ein .1 release aufhebt, was ja noch etwas auf sich warten lassen wird.

 

[Fresh_Prince]

Ich habe bisher noch kein gesondertes Sicherheitsupdate für ein aktuelles System gesehen. Immer nur für die letzten beiden Altsysteme. Deshalb ging ich davon aus.