Eine neue Schwachstelle macht Apples macOS sehr anfällig für den unerlaubten Zugriff auf alle vorhandenen Zugangsdaten durch manipulierte Software wie Apps. Aus der lokalen Keychain ließen sich die Passwörter laut eines Experten als Klartext einfach auslesen.

Apple-Sicherheitslücke sollte erst geheim bleiben

Die Lücke sei so gefährlich, dass selbst unsignierte Apps ohne Admin- oder Root-Rechte von Angreifern genutzt werden könnten. Der Nutzer müsse lediglich an seinem Mac angemeldet sein.

Bis zur aktuellen macOS-Version 10.14.3 Mojave sei die Apple-Schwachstelle aktiv, aber auch ältere Versionen seien betroffen, so der Sicherheitsexperte laut heise weiter. Bisher stehe auch kein Patch zur Verfügung.

Ein ähnliches Problem wurde bereits vor anderthalb Jahren entdeckt. Auch damals konnte auf alle Schlüsselbund-Passwörter aus macOS zugegriffen werden. Apple hatte mit einem außerordentlichen Update für die Schließung der Lücke gesorgt.

Entdecker will macOS-Schwachstelle nicht an Apple übermitteln

Der Sicherheitsforscher, der die Apple-Sicherheitslücke entdeckt hatte, hat bisher keine Anleitung zum Ausnutzen veröffentlicht. Auf der anderen Seite weigert er sich jedoch auch, die ihm bekannten Informationen an Apple weiterzuleiten. Der einfache Grund: Das Unternehmen biete kein Bug-Bounty-Programm an und zahle demnach kein Geld für gefundenen Lücken in macOS. Dies behalte man sich ausschließlich für besonders schwere Schwachstellen in iOS vor.