Das Betriebssystem macOS von Apple galt lange als sehr sicher. Diese Zeiten sind wohl vorbei. Der ehemalige NSA-Hacker Patrick Wardle veröffentlichte noch am Erscheinungstag der neuen Version ein Video, das eine kritische Sicherheitslücke zeigt, wie ZDNet berichtet.
Unsicherer Schlüsselbund
Dabei handelt es sich um die Möglichkeit, gespeicherte Passwörter im Klartext aus Apples Keychain-Software mittels ungekennzeichneten Programmen zu exportieren. Die betroffene Anwendung ist eigentlich zur Verwaltung und Sicherung von Passwörtern und digitalen Zertifikaten gedacht. Betroffen sind neben dem neuesten Update von macOS auch ältere Versionen des Systems, so Wardle.
Der Zero-Day-Exploit wurde von Wardle mit einem Tweet publik gemacht. Im verlinkten Video demonstriert er die Anwendung des potenziellen Hacks in Form einer eigenen „keychainStealer“-App. Diese könne in gefälschten Programmen oder E-Mails versteckt werden und so Passwörter und Kreditkartennummern erbeuten.
Apple reagiert nicht
Patrick Wardle zeigt sich enttäuscht von Apple. Die Sicherheitslücke habe er laut eigenen Angaben schon vor einem Monat dem kalifornischen IT-Unternehmen mitgeteilt, trotzdem wurde High-Sierra mit der Schwachstelle ausgeliefert. In seinem Tweet fordert er Apple außerdem dazu auf, das Bug Bounty-Angebot von iPhone und iPad für wohltätige Zwecke auch auf macOS auszuweiten.