Teenager hackt sich in Apples macOS Passwortmanager: So schützt du jetzt deine Zugangsdaten!

Und wieder hat ein Teenager Apple gezeigt, wo es lang geht: Ein deutscher Jugendlicher entdeckte eine schwerwiegende Sicherheitslücke im aktuellen macOS. Der Bug erlaubt Apps Zugriff auf alle deine Passwörter in der Apple Keychain. Und was sagt der Konzern dazu? Apple schweigt … Du musst dir also selber helfen!

Erst vor Kurzem hat ein 14-Jähriger jenen Bug bei der Apple FaceTime Gruppenfunktion aufgespürt, der weltweit für Aufregung sorgte. Der Jugendliche wurde zwar zuerst bei Apple nicht für voll genommen, aber wie ernst die Lage tatsächlich war, haben wir berichtet. Spionage-Möglichkeit am Silbertablett serviert … Mittlerweile hat der 14-Jährige allerdings eine Belohnung von Apple erhalten und die Sicherheitslücke wurde geschlossen.

Amazon, Online-Banking, Netflix & Co: Her mit deinen Passwörtern!

Zeit, um sich gemütlich wieder zurückzulehnen? Nicht für Apple! Denn schon wieder hat ein Teenager eine gravierende Schwachstelle in einer Apple-Technologie entdeckt. Der 18-jährige Deutsche Linus Henze hat aufgezeigt, dass das aktuelle macOS böswilligen Apps den Zugriff auf gespeicherte Passwörter ermöglicht. Darunter Passwörter wie jenes für dein Online-Banking, Slack, Netflix, Amazon und viele andere Apps mehr.

Auch Risiko fürs iPhone

Und auch wenn es sich hier um einen Mac-Bug handelt: Wenn du den iCloud Schlüsselbund nutzt, werden Passwörter ja zwischen iPhones und Macs synchronisiert und könnten entsprechend auch gefährdet sein.

Hacker rückt Erkenntnisse nicht heraus

Das Schlimmste daran: Es sieht momentan nicht so aus, als würde es für die Schwachstelle recht bald Entwarnung geben. Denn Henze gibt seine Informationen nicht an Apple weiter. Er hat Forbes gegenüber angegeben, dass die Bezahlung für eine derartige Sicherheits-Recherche zu wenig sei, um seine Erkenntnisse zu teilen.

Keychain: Goldmine für Hacker

Keychain: Goldmine für Hacker
Keychain: Goldmine für Hacker

Der Sicherheitsforscher, der bereits in der Vergangenheit andere iOs und macOS-Bugs aufgedeckt hat, konnte sich in die Keychain (Apples Passwortmanager) hacken. Hier speichert macOS alle privaten Schlüssel und Passwörter – eine absolute Goldmine für Hacker.

„Einfache App“ ausreichend

Henze fand weiters heraus, dass er eine App ins Leben rufen konnte, welche die Inhalte der Keychain lesen konnte. Ohne explizites Einverständnis des Opfers. Dazu brauchte es keinerlei spezielle Berechtigungen wie z. B. Admin-Rechte: „Eine einfach App ist alles, was nötig ist,“ so Henze.

Umfassende Mega-Angriffe möglich

Er führt seine Überlegungen weiter aus: Wenn es Hackern gelänge, die Keychain-Schwachstelle in einer legitimen App zu verstecken – nicht auszudenken! Oder ein User konnte zu einer Webseite umgeleitet werden, die Schadcode auf seinem Gerät installiert. Und da die Attacke in der Lage ist, Tokens für den Zugang zur iCloud zu stehlen, könnten ganze Apple-IDs übernommen und die Keychain vom Unternehmens-Server downgeloadet werden.

„Wir helfen Apple dabei, seine Produkte sicherer zu machen.“

Apple hat ein eigenes Belohnungsprogramm für das Aufdecken derartiger Sicherheitslücken. Bis zu 200.000 Dollar können gute Hacker für ihre Entdeckungen kassieren. So auch der 14-jährige FaceTime-Bug-Entdecker. Aber dieses System gilt nur für iOS: „Es sieht so aus, als würden sie sich um macOS überhaupt keine Gedanken machen,“ sagt Henze. „Derartige Schwachstellen zu finden benötigt viel Zeit und ich denke, es ist nur richtig, dass Apple die Forscher dafür bezahlt. Denn wir helfen Apple dabei, seine Produkte sicherer zu machen.“

Angesehener Experte beeindruckt

Deswegen hat der Deutsche sich auch nicht an Apple gewandt. Sondern per YouTube-Video gleich direkt an die Öffentlichkeit. Aber was ist wirklich dran an der angeblichen Schwachstelle? Forbes ließ den Bug durch Sicherheitsspezialisten Patrick Wardle testen. Dieser war schwer beeindruckt: “Es ist etwas entmutigend, dass Apple nicht weiß, wie man die Keychain schützt. Was ist der Sinn, etwas zur Speicherung der sensibelsten Daten des Systems zu entwickeln, wenn der Mechanismus selbst nicht sicher ist.“

So schützt du dich vor dem Passwort-Klau

Apple hatte dazu erstmal nichts zu sagen. Nachdem der deutsche Hacker seine Erkenntnisse nicht herausrückt, ist fraglich, wann ein Fix verfügbar sei wird. Sicherheitsexperte Wardle, der 2017 einen ähnlichen Bug entdeckte, gab Forbes folgenden Tipp für die Nutzer: Am besten setzt du manuell ein Passwort für die Keychain, um nicht Opfer eines Hacks zu werden.

Allerdings bedeutet das natürlich, dass du jedes Mal, wenn eine legitime App ein Passwort aus der Keychain nutzen möchte, den Login eingeben musst. Aber, da sind wir uns sicher einig: Es gibt einfach Zeiten, in denen die Sicherheit gegenüber Usability siegt. Wer will schon seine Passwörter in den Händen von Cyberkriminellen?

Quelle: forbes.com; Foto: pixabay.com


Erstellt am: 16. Februar 2019

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar