Nach dem FaceTime-Fehler vergangene Woche gibt es jetzt Gerüchte rund um einen neuen Fehler, diesmal aber in macOS. Er ist dabei nicht weniger kritisch – angeblich können Mac-Apps den Schlüsselbund auslesen. Das ganz ohne Admin-Rechte bzw. die Eingabe eines Passworts.
Der Fehler soll von einem Sicherheitsforscher gefunden worden sein, er meldete ihn via Twitter. Solange ein Nutzer im System angemeldet ist, sollen manipulierte Apps die Inhalte des Schlüsselbunds auslesen können.
Remember KeychainStealer by @patrickwardle which can steal all your keychain passwords?
While his vulnerability is patched now, I’ve found a new one, affecting macOS Mojave and lower.
More information can be found in my video:https://t.co/wBQL2s6v7z#OhBehaveHack #OhBehaveApple— Linus Henze (@LinusHenze) 3. Februar 2019
macOS Schlüsselbund und keine Bug Bounty
Anders als im Fall des FaceTime-Fehlers gibt es für macOS leider kein Bug Bounty Programm. Dementsprechend möchte der Forscher Apple den Fehler erst im Detail mitteilen, wenn er eine Prämie erhält.