macOS Passwortverwaltung angreifbar
Author
Stefanie, Mi, 6. Feb. 2019
in IT-Sicherheit

macOS Passwortverwaltung angreifbar

Schwere Sicherheitslücke in Mac-Schlüsselbund

Von Haus aus bringt macOS eine eigene Passwortverwaltung namens „Schlüsselbund“ mit. Genau die ist nun aber dank einer schweren Sicherheitslücke angreifbar.

Was es mit der Schwachstelle im Mac-Schlüsselbund auf sich hat und wie ihr euch davor schützen könnt, erfahrt ihr hier.

Passwortverwaltung unter macOS unsicher

Eigentlich soll eine Passwortverwaltung euch dabei helfen, eure Passwörter sicher zu verwalten. Meist kommen Passwortmanager sogar mit einer Browser-Erweiterung daher. Diese loggt euch automatisch in euren Online-Konten ein, sobald ihr die entsprechende Website aufruft. Der Vorteil: Alle eure Passwörter werden sicher aufbewahrt und ihr müsst euch nur noch ein einziges Passwort, das sogenannte Master-Passwort, merken. Mehr zum Thema Passwortmanager erfahrt ihr in unserem Ratgeber Passwörter verwalten.

Allerdings sind auch Passwortmanager nicht vor Schwachstellen gefeit. Das gilt auch für eine Betriebssystems-eigene Passwortverwaltung wie dem Schlüsselbund von macOS. Durch eine schwere Sicherheitslücke ist der Mac-Schlüsselbund nämlich angreifbar und ermöglicht Hackern im Zweifelsfall das Auslesen all eurer darin gespeicherten Passwörter.

Mac-Schlüsselbund mit kritischer Schwachstelle

In einem YouTube-Video zeigt der deutsche Sicherheitsforscher Linus Henze, dass sich die Schlüsselbundverwaltung unter macOS relativ unkompliziert aushebeln lässt. Henze verwendet dafür ein eigens geschriebenes Programm, das sich eine Zero-Day-Schwachstelle in macOS zunutze macht, um auf die im Mac-Schlüsselbund gespeicherten Passwörter zuzugreifen.

Solche Programme lassen sich auch von Hackern schnell entwickeln und verbreiten. Sie können zum Beispiel als verseuchter E-Mail-Anhang oder als infiziertes Software-Programm auf euer Gerät gelangen. Ist es erstmal auf eurem Rechner, bekommt es Zugriff auf die in der Schlüsselbundverwaltung gespeicherten Passwörter. Auch auf die Zugangsdaten zu euren Online- und Social-Media-Konten erhalten Hacker so Zugriff, wie das Video zeigt.

Welche macOS-Versionen sind betroffen?

Von der Sicherheitslücke betroffen sind laut Henze alle macOS-Versionen inklusive der aktuellen Version macOS Mojave 10.14.3. Dabei ist, so ein Bericht von Leo Becker, nicht nur der Standard-Schlüsselbund „Anmeldung“, sondern auch der Schlüsselbund „System“ sowie individuell angelegte Mac-Schlüsselbunde gefährdet.

Doch damit nicht genug. Hat es beispielsweise eine manipulierte Mac-Anwendung auf euer Gerät geschafft, kann sie nicht nur auf Zugangsdaten und Passwörter in der Schlüsselbundverwaltung zugreifen. Auch andere Informationen, die in der Passwortverwaltung gespeichert sind, sind angreifbar, zum Beispiel die (vermeintlich) sicheren Notizen.

Immerhin: der iCloud-Schlüsselbund ist von der Sicherheitslücke nicht betroffen. Zwar wird der auch im Mac-Schlüsselbund hinterlegt, um geräteübergreifend auf Passwörter & Co. Zugriff zu haben. Allerdings funktioniert der iCloud-Schlüsselbund anders, sodass Hacker trotz der macOS-Schwachstelle keinen Zugang zu den darin gespeicherten Informationen erlangen können.

Passwortverwaltung Mac-Schlüsselbund: Manuelle Sperrzeit einrichten (Bild: Screenshot)

Der Mac-Schlüsselbund ermöglicht das Einstellen einer manuellen Sperrzeit. (Bild: Screenshot)

Sicherheitslücken in macOS: Apple muss nachbessern

Es ist nicht das erste Mal, dass der Mac-Schlüsselbund durch eine Sicherheitslücke angreifbar wird. Bereits unter der Vorgängerversion von macOS Mojava, macOS High Sierra, war die Schlüsselbundverwaltung von Apple negativ aufgefallen. Bisher gibt es zur neuen Schwachstelle im Mac-Schlüsselbund keine Reaktion von Apple.

Schaut man sich das Video von Henze allerdings noch einmal genauer an, wird klar: Apple muss bei seiner Passwortverwaltung nachbessern, denn bei der Schwachstelle handelt es sich um eine kritische Sicherheitslücke. Henze selbst will Apple dabei allerdings nicht unterstützen und hat die Sicherheitslücke bisher noch nicht an Apple gesendet. Wie viele andere Sicherheitsforscher auch kritisiert Henze, dass Apple Entwickler und Sicherheitsforscher nicht für gemeldete Schwachstellen in macOS, sondern nur für gemeldete iOS-Schwachstellen entlohnt.

Passwortverwaltung schützen – so geht’s

Grundsätzlich ist nun erstmal Apple in der Pflicht, mit einem Update für macOS den Mac-Schlüsselbund abzusichern. Allerdings könnt ihr die Schlüsselbundverwaltung bis dahin mithilfe einiger Tipps selbst absichern.

So ist für einen erfolgreichen Angriff auf den Mac-Schlüsselbund nötig, dass dieser entsperrt ist. Standardmäßig ist das unter macOS für den Schlüsselbund „Anmeldung“ auch der Fall. Darum solltet ihr die Schlüsselbundverwaltung manuell sperren, um unbefugte Zugriffe zu verhindern. Allerdings müsst ihr dann das Zugangskennwort jedes Mal neu eingeben. Alternativ könnt ihr auch eine Sperrzeit festlegen, sodass der Mac-Schlüsselbund nach einer paar Minuten Inaktivität automatisch gesperrt wird.

Darüber hinaus gilt auch für macOS, dass ein Virenschutz und die regelmäßige Installation von Software-Updates für mehr Sicherheit sorgen. Wenn ihr prüfen lassen wollt, ob euer Gerät bestmöglich geschützt ist, kommt zu eurem PC-SPEZIALIST vor Ort und lasst einen Sicherheits-Check durchführen oder euch zu unserem Servicepaket beraten. Damit surft ihr jederzeit sorgenfrei, während sich euer PC-SPEZIALIST vor Ort um die Wartung und die regelmäßig Aktualisierung des Antiviren-Programms kümmert.

0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.