Mit der Veröffentlichung von macOS High Sierra macht Patrick Wardle erneut auf eine Sicherheitslücke aufmerksam.
Schon vor mehr als einem Jahr wurde Apple darauf hingewiesen, dass im macOS-Betriebssystem ein Fehler den Zugriff auf den Schlüsselbund ermöglicht. Was bis dahin passiert ist? Nichts. Denn auch in macOS High Sierra ist es immer noch möglich die Passwörter im Klartext auszulesen.
Sollte man das Update lieber nicht machen? Da der Fehler schon seit über ein Jahr existiert, gab es diesen auch schon in der Sierra-Version. Wer jedoch darauf achtet, welche Applikationen auf dem eigenen Mac installiert werden, sollte nichts zu befürchten haben, denn nur nicht-signierte Anwendungen von Drittanbietern könnten Passwörter aus dem Schlüsselbund im Klartext auslesen. Demnach ist euer Mac zwar vor Fremdangriffen geschützt, wer aber nicht aufpasst und die falschen Programme installiert, erlaubt so Zugriff auf die Daten im Schlüsselbund.
Der Programmierer Patrick Wardle demonstriert im Video den Fehler. Pünktlich zum Start von macOS High Sierra hat Wardle den Bug ausprobiert und hatte gehofft, dass Apple die Sicherheitslücke in der neuen Version schließt – dem ist nicht so. Hoffentlich schafft es Apple, den Fehler in einem Update auszumerzen.
Seit über einem Jahr? Da schüttelt man nur noch ungläubig den Kopf…
Apple sollte vielleicht mal für solche kritischen Themen Entwickler abstellen und nicht für einen sprechenden Kackhaufen…
?
?
??
??
?
??
Auch signierte Apps können Passwörter auslesen, wie er auf Twitter schreibt!
Zitat:
„sorry for the confusion, but signed apps can equally exploit this bug! Was just aiming to illustrate how low the bar is set ?“
Da lob ich mir 1Password und dafür zahl ich dann auch gerne 30$ in Jahr!
?
Yep. Apple ist mittlerweile vieles egal.
1Password ist da einfach der Standard.
Kann man den Schlüsselbund irgendwo zurücksetzen bzw. löschen? Nutze nämlich auch überwiegend 1Password und habe aber keinen Überblick, was von früher vielleicht noch im Schlüsselbund ist…
Man achte auf die Reihenfolge: Erst wird das OS hier dick beworben und von den Neuerungen geschwärmt und dann danach erzählt man euch von Macken, die angeblich schon mehr als ein Jahr alt sind. Bravo Freddy!
Wo ist dein Problem? Sollen wir verschweigen, dass High Sierra veröffentlicht wurde? Können wir was für die Lücken? Ne.
Aber ihr hättet im selben Zuge in Eurem Artikel zur Veröffentlichung darauf hinweisen können, yo!
Aber das Auslesen ist nur bei Safari für Mac möglich? Nicht auf iPad oder iPhone? Wenn ich also jetzt auf dem MacBook den Schlüsselbund deaktiviere und lösche, dann kann ich ihn aber auf den beiden anderen Geräten gefahrlos lassen?
Einfach die Passwörter selber merken!
Du hast recht, das ist die sicherste Methode! Ich merke mir die sogar. Aber ich habe genau vier Passwörter, die ich auf gar keinen Fall vergessen darf, die habe gekürzt im Schlüsselbund, als Erinnerungsstütze. Im Notfall braucht jemand sehr lange, bis er das herausfinden würde, aber es bleibt ein komisches Gefühl. Daher meine Frage mit iPad und iPhone.
Selbst wenn man Schlüsselbund nutzen möchte könnte man sich je nach Login eine individuelle Erweiterung ausdenken, dann können Fremde auch mit dem gehackten Passwort nichts anfangen.