Ein ehemaliger NSA-Mitarbeiter hat rechtzeitig zum Launch der neuen Apple-Software einen Zero-Day-Exploit aufgedeckt.
Der Marktstart von Apples Neuerscheinungen läuft alles andere als reibungslos. Die Apple Watch (LTE) kämpft in den USA mit Verbindungsproblemen, das iPhone X soll auch unter einem schlechten Stern stehen. Gerüchten zufolge ist das Gerät, das Anfang November auf den Markt kommen soll, noch nicht einmal in der Produktion. Doch nicht nur bei der Hardware hapert es. Auch bei der Software gibt es Probleme. Ein ehemaliger NSA-Mitarbeiter entdeckte rechtzeitig zum Start eine gravierende Lücke in der neuen Mac OS X High Sierra veröffentlicht.
Die Lücke macht es möglich, dass alle in der lokalen Keychain gespeicherten Passwörter einfach ausgelesen werden können. Eine Eingabe des Master-Passworts ist nicht notwendig. Der Ex-NSA-Mitarbeiter zeigt, dass auch die Sicherheitswarnung von Apple nur signierte Apps zu installieren, nicht den gewünschten Erfolg bringt. Für Angreifer stellt es keine Herausforderung dar, ins Apple-Developer-Program aufgenommen zu werden, um dann signierte Apps anzubieten. Das führt Apples Stellungnahme, dass das Betriebssystem davor warne, unsichere Apps zu installieren, ad absurdum.
Der Sicherheitsforscher übt scharfe Kritik an Apples Sicherheitspolitik, die in den letzten Jahren aus seiner Sicht vernachlässigt wurde. "Als ein leidenschaftlicher Mac-User bin ich ständig enttäuscht von der Sicherheit von macOS", führt er in seinem Tweet aus. Die reale Sicherheit habe nichts mit der in der Werbung versprochenen gemeinsam, schließt er seine Analyse.
(bagre)