Quelle: http://www.heise.de/security/meldun...en-offenbar-Passwoerter-auslesen-2715047.html
Zitat:
"Eine Sicherheitslücke in Apples Schlüsselbund in Mac OS X, der systemweit unter anderem Benutzerdaten und Passwörter verwaltet, erlaubt einer App beispielsweise, die von einer anderen App gespeicherten Daten abzufragen, erklären die Forscher – sie hätten auf diese Weise erfolgreich Zugangsdaten ausgelesen, die die Systemeinstellung "Internetaccounts" verwaltet, darunter das iCloud-Token zum Zugriff auf Apples Cloud-Dienste, auch andere dort hinterlegte Daten für E-Mail-Konten oder soziale Netzwerke seien anfällig."
und:
"Neben dem Schlüsselbundangriff sind manipulierte Apps unter OS X angeblich auch fähig, die Sandbox anderer Programme zu knacken und sensitive Daten auszulesen – so sei es beispielsweise möglich, Kontaktdaten und Notizen aus Evernote zu entwenden. Durch Schwachpunkte in WebSockets waren die Forscher nach eigener Angabe in der Lage, Kennwörter aus der Passwortverwaltung 1Password auszulesen – als Angrifsspunkt diente hier die Browser-Erweiterung des Programms für Safari, Chrome und Firefox. Die darüber informierten 1Password-Entwickler hätten die Schwere des Problems anerkannt, merken die Forscher an."
Hier eine recht gute Erklärung zur Funktionsweise des Exploits:
http://www.heise.de/forum/Mac-i/New...hain-Angriff-im-Detail/posting-20918760/show/
tl;dr: Apple-Betriebssysteme haben ein sehr ernsthaftes Sicherheitsproblem (das grösste Denkbare?) und trotz dieses Wissens hat Apple die letzten 6 Monate nicht bzw. nur ungenügend reagiert.
Zitat:
"Eine Sicherheitslücke in Apples Schlüsselbund in Mac OS X, der systemweit unter anderem Benutzerdaten und Passwörter verwaltet, erlaubt einer App beispielsweise, die von einer anderen App gespeicherten Daten abzufragen, erklären die Forscher – sie hätten auf diese Weise erfolgreich Zugangsdaten ausgelesen, die die Systemeinstellung "Internetaccounts" verwaltet, darunter das iCloud-Token zum Zugriff auf Apples Cloud-Dienste, auch andere dort hinterlegte Daten für E-Mail-Konten oder soziale Netzwerke seien anfällig."
und:
"Neben dem Schlüsselbundangriff sind manipulierte Apps unter OS X angeblich auch fähig, die Sandbox anderer Programme zu knacken und sensitive Daten auszulesen – so sei es beispielsweise möglich, Kontaktdaten und Notizen aus Evernote zu entwenden. Durch Schwachpunkte in WebSockets waren die Forscher nach eigener Angabe in der Lage, Kennwörter aus der Passwortverwaltung 1Password auszulesen – als Angrifsspunkt diente hier die Browser-Erweiterung des Programms für Safari, Chrome und Firefox. Die darüber informierten 1Password-Entwickler hätten die Schwere des Problems anerkannt, merken die Forscher an."
Hier eine recht gute Erklärung zur Funktionsweise des Exploits:
http://www.heise.de/forum/Mac-i/New...hain-Angriff-im-Detail/posting-20918760/show/
tl;dr: Apple-Betriebssysteme haben ein sehr ernsthaftes Sicherheitsproblem (das grösste Denkbare?) und trotz dieses Wissens hat Apple die letzten 6 Monate nicht bzw. nur ungenügend reagiert.