Sicherheitslücke: macOS High Sierra - Unsignierte Apps können Passwörter auslesen

Papa_Baer

Jakob Lebel
Registriert
06.01.15
Beiträge
4.843
Wichtig ist im Endeffekt, dass ein anderes Passwort vergeben wird, wie das des Benutzers.

Wüsste nicht das das geht den der Schlüsselbund fragt ja explizit nach dem Benutzerpasswort des betreffenden Nutzers.

Bildschirmfoto 2017-09-26 um 08.44.21.png

Falls man doch das Schlüsselbund Passwort ändern kann wäre ich für eine Info dankbar.
 

Fresh_Prince

Kantil Sinap
Registriert
22.10.14
Beiträge
7.296
Du befindest dich gerade mit deinem Screenshot in den Safari Einstellungen unter dem Reiter Passwörter. Das war jedoch nicht gemeint. Gemeint war das Programm „Schlüsselbundverwaltung“.
 

Papa_Baer

Jakob Lebel
Registriert
06.01.15
Beiträge
4.843
Ok. Aber auch da kann man das Passwort nicht ändern.
 

Papa_Baer

Jakob Lebel
Registriert
06.01.15
Beiträge
4.843
Cool, danke. Hab das Passwort jetzt mal geändert. Damit müsste ich doch jetzt erstmal gesafet sein oder? Und ist es in der Regel eh ratsam für den Schlüsselbund ein gesondertes Passwort zu dem des Nutzers anzulegen?

Edit: Wollte grad eine iMessage über das Macbook schreiben konnte aber nicht zugestellt werden.Über das iPhone ging es. Steht das eventuell im Zusammenhang mit dem veränderten Passwort?
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Es erhöht etwas die Sicherheit, da der Schlüsselbund nicht mit dem Login entsperrt wird und so bösartigen Apps potenziell zur Verfügung steht. Auch wenn eigentlich eine Abfrage stattfinden soll, solche Fälle, wie der aktuelle zeigen, dass auch die Mechanismen von Apple umgangen werden können (welch Überraschung).

Ich habe zusätzlich auch unter Bearbeiten → Einstellungen für Schlüsselbund ändern die Option Bei Wechsel in Ruhezustand schützen aktiviert. Damit wird der Schlüsselbund gesperrt sobald der Mac in den Ruhezustand wechselt.

Beides hat natürlich zu Folge, dass man öfters mal das Passwort eingeben muss. Bei mir hält sich das in Grenzen, da ich primär 1Password nutze und nur das nötigste im Schlüsselbund habe. Die Safari integrierte Passwortfunktion nutze ich bspw. gar nicht.
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Cool, danke. Hab das Passwort jetzt mal geändert. Damit müsste ich doch jetzt erstmal gesafet sein oder? Und ist es in der Regel eh ratsam für den Schlüsselbund ein gesondertes Passwort zu dem des Nutzers anzulegen?

Edit: Wollte grad eine iMessage über das Macbook schreiben konnte aber nicht zugestellt werden.Über das iPhone ging es. Steht das eventuell im Zusammenhang mit dem veränderten Passwort?
Durchaus möglich.
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Das wäre ja Mist.
Deine Zertifikate und Token für iMessage liegen im Schlüsselbund.

Edit:
Ich habe zusätzlich auch unter Bearbeiten → Einstellungen für Schlüsselbund ändern die Option Bei Wechsel in Ruhezustand schützen aktiviert. Damit wird der Schlüsselbund gesperrt sobald der Mac in den Ruhezustand wechselt.
Ist das nicht unnötig? Ich habe eingerichtet, dass bei Ruhezustand sofort nach dem Passwort für meinen Benutzer gefragt werden soll. Zudem läuft noch FileVault.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Papa_Baer

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Mal in iMessage ab- und wieder anmelden.
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Deine Zertifikate und Token für iMessage liegen im Schlüsselbund.

Edit:

Ist das nicht unnötig? Ich habe eingerichtet, dass bei Ruhezustand sofort nach dem Passwort für meinen Benutzer gefragt werden soll. Zudem läuft noch FileVault.

Das ist realtiv. Ich nutze das Gerät auch für die Arbeit. Bei mir ist auch ein Firmware Passwort gesetzt. Sollte das Gerät abhanden kommen, sollen die Daten möglichst wertlos sein. Die Arbeitsdaten liegen zudem in verschlüsselten Containern, die ich separat mounte.

Das muss jeder für sich entscheiden, wieviel Sicherheit er benötigt / haben will. Ich zeige nur die Möglichkeiten auf. ;)
 
  • Like
Reaktionen: Papa_Baer

Papa_Baer

Jakob Lebel
Registriert
06.01.15
Beiträge
4.843
Das Schlüsselbund Passwort zu ändern ist zwar eine interessante Idee aber in der Praxis äußerst mühsam. Denn für fast jede Aktion muss das Schlüsselbund PW eingegeben werden und dann muss man man

Schlüsselbund öffnen und das Schloss schließen.
.

Wohl oder übel werd ich es erstmal so beibehalten und hoffen das Apple die Lücke möglichst schnell schließt.
 

Papa_Baer

Jakob Lebel
Registriert
06.01.15
Beiträge
4.843
@echo.park

Du nutzt es trotz Lücke also weiter wie bisher?

Wenn man das Schlüsselbund PW später wieder auf das PW des Nutzers ändert dann müsste doch wieder alles automatisch passieren oder?
 
  • Like
Reaktionen: bluegenzel

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
@echo.park
Du nutzt es trotz Lücke also weiter wie bisher?
Ja.

Die Lücke steckt in jedem System. Nicht nur in High Sierra. Ich nutze keine Apps von außerhalb des App Store. Und auch dort nur einige wenige. Von außerhalb des App Store kommt nur mein Drucker Treiber. Damit ist die Sache für mich schon erledigt. Erst muss es eine bösartige App auf meinen Mac schaffen. Damit unterscheidet es sich nicht von den üblichen Trojanern. Ich müsste also was laden und ausführen. Zudem alle Warnungen übergehen. Wie bisher jede Malware auf dem Mac. Und das wird nicht passieren.

Deshalb habe ich quasi kein Problem mit dieser Lücke.
 
  • Like
Reaktionen: Papa_Baer

Papa_Baer

Jakob Lebel
Registriert
06.01.15
Beiträge
4.843
Ich nutze keine Apps von außerhalb des App Store.

Ich schon wenn auch nicht viel. Immer von deren Webseite geladen. Das macht mir ja grade Sorgen.

Erst muss es eine bösartige App auf meinen Mac schaffen.

Ich hab das so verstanden das es auch Software von Entwicklerwebseiten betrifft.Denn die haben ja auch teilweise automatische Updatefunktionen integriert.

Ich müsste also was laden und ausführen.

Muss man doch immer wenn man von Entwicklerwebseiten installiert.

Zudem alle Warnungen übergehen.

Meist kommt ja nur der Hinweis das man ein aus dem Internet geladenes Programm öffnen willst z.B: Etrecheck. da denkt man ja eigentlich nicht das es schädlich ist.

Wie gesagt habe ich ja schon ein paar Programme von Entwicklerwebseiten installiert. Sollte ich diese erstmal gar nicht mehr öffnen oder updaten oder sogar ganz löschen?

Tut mir leid wenn das alles etwas wirr klingt. Mache mir nur Gedanken zu meinen Daten und möchte da nicht unfreiwillig helfen das diese irgendjemand bekommt.:)
 

u0679

Moderator
AT Moderation
Registriert
09.11.12
Beiträge
7.332
Ich hab das so verstanden das es auch Software von Entwicklerwebseiten betrifft.Denn die haben ja auch teilweise automatische Updatefunktionen integriert.

So hab ich das auch verstanden, wenn der Entwickler bzw. seine Seite jetzt angegriffen wird, kann über ein Update dann Schadcode, der die Lücke ausnutzt auf den Macs landen.
Ich hab ja auch Tools wie EtreCheck oder Gimp im Einsatz.
 
  • Like
Reaktionen: tiny und Papa_Baer