Keychain Sicherheitslücke: Solltet Ihr mittlerweile das Update auf macOS High Sierra durchgeführt haben, dann ist folgende Meldung für Euch wichtig:
Die aktuelle macOS Version besitzt anscheinend eine Art Sicherheitslücke, die es erlaubt, dass Hacker Eure Keychain (dt.: Schlüsselbundverwaltung) auslesen.
Sicherheitslücke deaktiviert Master-Passwort für Keychain
Patrick Wardle hat nach eigenen Angaben die Sicherheitslücke gefunden, die es ermöglicht, Eure persönlichen Passwörter aus Apples Keychain auszulesen. Die Inhalte der Keychain sind eigentlich mit einem Master-Passwort geschützt.
Jetzt ist es aber so, dass für diesen Angriff ein paar Voraussetzungen erfüllt werden müssen, die Ihr verhindern könnt. Damit die Funktion ausgeführt werden kann, muss eine unsignierte App installiert werden. Ihr kennt das ja von Gatekeeper in macOS, dass Ihr Apps, die Ihr nicht aus dem App Store geladen habt, erst mal nur nach zusätzlicher Bestätigung ausgeführt werden können.
Vorsicht: Keine unsignierten Apps installieren
Die Sicherheitslücke setzt also sozusagen voraus, dass Ihr Euch z.B. von einem Freund oder Bekannten eine Datei schicken lasst oder von einem unseriösen Portal runterladet, die die entsprechende Malware enthält. Danach müsst Ihr dann aber sozusagen aktiv der App erlauben, dass Ihr sie installieren wollt. Und das solltet Ihr eigentlich generell vermeiden, da Ihr sonst Gefahr lauft, Viren & Malware zu installieren.
Apple hat für die Sicherheitslücke keinen Patch veröffentlicht und auch keinen angekündigt. Diese geben an, dass ihr macOS Betriebssystem von Natur aus sicher ist. Gatekeeper warnt Euch vor der Installation unsignierter Apps. Solang Ihr keine unsignierten Apps installiert und ausschließlich Apps aus dem App Store nutzt, besteht keine Gefahr. Übersetzt heißt das: Ihr solltet aktuell unbedingt darauf verzichten, Apps aus anderen Quellen als dem App Store zu installieren, bis die Sicherheitslücke geschlossen wurde.
Wobei hier jetzt auch weniger im Vordergrund steht, dass das Umgehen von Gatekeeper & Installieren von unsignierten Apps generell ein Problem darstellen, sondern dass es eben möglich ist, die Master Passwortabfrage für den Schlüsselbund zu umgehen.
Angeblich besteht die Sicherheitslücke auch in älteren macOS Versionen. Wir halten Euch hinsichtlich der Thematik auf dem Laufenden…
AnDi antwortet
Na da bin ich gespannt wie schnell Apple reagiert….