Kritische Sicherheitslücke in Apples macOS legt Passwörter offen

Der deutsche Sicherheitsforscher Linus Henze hat eine kritische Sicherheitslücke in Apples Desktop-Betriebssystem macOS entdeckt. Dieser Zero-Day-Exploit legt im Betriebssystem-eigenen Passwort-Manager Schlüsselbund (Keychain) gespeicherte Daten offen, ohne dass das eigentlich erforderliche Systempasswort eingegeben wird.

Es handelt sich nicht um die erste Sicherheitslücke dieser Art. Bereits im Vorjahr wies Sicherheitsforscher Patrick Wardle auf ein ähnliches Problem hin, bei dem ein Programm unter High Sierra (macOS 10.13) alle Passwörter auslesen konnte. Das Problem wurde mittlerweile behoben, Henzes Variante soll aber eine neue, bislang unbekannte Lücke ausnutzen, von der auch die aktuelle macOS-Version Mojave (10.14) betroffen ist.

Keine Belohnung für Hacker

Henze hat die Sicherheitslücke auf den Namen #OhBehaveHack, inspiriert vom bekannten Spruch des Satire-Agenten Austin Powers, getauft. Er will Details dazu aber nicht an Apple übermitteln. Damit will der Sicherheitsforscher gegen die Tatsache protestieren, dass Apple keine Belohnungen für das Aufdecken von Sicherheitslücken in macOS ausbezahlt.

Nahezu jeder bekannte Hersteller bietet derartige Bug-Bounty-Programme an, mit denen man Sicherheitsforschern bzw. sogenannten White-Hat-Hackern einen Anreiz bieten will, nach Sicherheitslücken zu suchen und diese dem Hersteller zu melden.

Unter iOS bietet man zwar Belohnungen für das Aufdecken schwerer Sicherheitslücken, dazu muss man sich jedoch strikten Vorgaben Apples unterwerfen. Wie schwer es sein kann, eine Sicherheitslücke an Apple zu melden, musste dieses Jahr bereits ein 14-Jähriger feststellen, der eine Methode entdeckte, mit der FaceTime zum Abhören missbraucht werden kann.