Sicherheitsforscher macht Zero-Day-Lücke in macOS 10.14 Mojave öffentlich

Schädliche Apps können eine neue Datenschutzfunktion von Mojave umgehen. Sie erhalten auch ohne erteilte Berechtigungen beispielsweise Zugriff auf das Adressbuch. Technische Details der Schwachstelle gibt der Entdecker Patrick Wardle erst im November preis.

In der jüngsten Version von Apples Betriebssystem steckt eine schwerwiegende Sicherheitslücke. Sie erlaubt es, Datenschutzfunktionen von macOS 10.14 Mojave auszuhebeln. Einem auf Vimeo veröffentlichten Video zufolge können beliebige Apps beispielsweise vertrauliche Daten wie das Adressbuch auslesen.

macOS 10.14 Mojave (Bild: Apple)Entdeckt wurde die Schwachstelle von Patrick Wardle, Chief Research Officer bei Digita Security, der zuletzt im August eine Zero-Day-Lücke in macOS öffentlich gemacht hatte. „Mojaves Dunkelmodus ist wunderbar … aber der versprochene bessere Datenschutz? Irgendwie Fake News“, twitterte Wardle am Montag zusammen mit einem Link zu besagtem Video.

Darin zeigt Wardle, wie eine App die Datenschutzeinstellungen umgehen und sich den Zugriff auf das Adressbuch sichern kann. Die Daten legt Wardle anschließend auf dem Desktop ab. Ein Hacker mit lokalem oder entferntem Zugang zu einem Mac mit macOS 10.14 Mojave könnte die Daten allerdings auch entwenden.

Gegenüber Bleeping Computer erklärte Wardle, auch eine App ohne jegliche Berechtigungen sei in der Lage, die Zero-Day-Lücke auszunutzen. Der Fehler, der auf der Implementierung der Schutzfunktionen basieren soll, sei trivial, aber zu 100 Prozent zuverlässig ausnutzbar. Es seien aber nicht alle neuen Datenschutzfunktionen unbrauchbar.

Die technischen Details des Bugs sowie Beispielcode hält der Sicherheitsforscher noch zurück. Er will Apple die Gelegenheit geben, einen Patch zu entwickeln und an seine Nutzer zu verteilen. Wardle plant jedoch, die Sicherheitslücke im November auf der Sicherheitskonferenz Objective by the Sea vorzuführen.

macOS 10.14 Mojave verteilt Apple seit Montag über den Mac App Store. Das Update nicht nur zahlreiche neue Funktionen, sondern auch Sicherheitspatches für acht Anfälligkeiten. Die Fehler stecken unter anderem im App Store, Kernel, der Firewall und den Komponenten Bluetooth, Crash Reporter und Security. Die Fixes sollen verhindern, dass Angreifer aus der Ferne Schadcode mit Kernel-Rechten ausführen, die Sandbox der Firewall durchbrechen oder die AppleID eines lokalen Nutzers kompromittieren.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Apple, Datenschutz, Security, Sicherheit, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher macht Zero-Day-Lücke in macOS 10.14 Mojave öffentlich

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *