Mac-Apps können heimlich Passwörter und Co. von Nutzern auslesen.
Der von einem Sicherheitsforscher neu entdeckte Fehler soll im Schlüsselbund liegen. Wird eine App heimlich manipuliert, kann sie dort abgespeicherte Zugangsdaten lesen. Das betrifft auch Passwörter.
Keine Admin-Rechte oder Passwort benötigt
Die Anwendung kann dies heimlich und ohne Admin-Rechte tun. Es muss nur ein Nutzer auf dem Rechner eingeloggt sein. Das reicht bereits aus, um die Passwortsperre des Schlüsselbundes zu umgehen.
Apple bietet keine Belohnungen für Sicherheitsforscher
Die Sicherheitslücke soll auch in der aktuellsten macOS-Version (10.14.3) noch vorhanden sein. Apple bietet derzeit kein Bug-Bounty-Programm für macOS.
Das bedeutet, dass Sicherheitsforschern, die Fehler melden, keine Belohnung zusteht. Der Sicherheitsforscher will Apple erst dann Einzelheiten präsentieren, wenn er mit einer Geld-Prämie via Bug-Bounty-Programm belohnt wird (danke Marcus).