In macOS steckte seit mehreren Jahren eine Lücke, über die böswillige Apps das Passwort der zentralen Apple-ID abfischen konnten – und zwar mit Hilfe systemeigener Routinen, was den Angriff auch für Profis schwer erkennbar machte. Dies berichtet der Entwickler und Leak-Experte Guilherme Rambo, der das Problem bereits im Dezember 2020 an Apple gemeldet hatte und dafür immerhin eine Bug Bounty in Höhe von 5000 US-Dollar erhielt. Erst mit macOS 12.3, das Mitte März erschienen war, wurde die Lücke vollständig gepatcht; in macOS 11.3 aus dem April 2021 gab es zumindest einen teilweisen Schutz, so Rambo. Das Problem betraf einen systemeigenen Daemon von macOS, den Apple dazu einsetzt, das sogenannte CoreFollowUp durchzuführen: Darüber warnt das System Nutzer unter anderem, ihr Geräte-Set-up zu beenden. Der damit in Verbindung stehende Daemon followupd wird aber auch dazu verwendet, unter bestimmten Umständen die Apple-ID verifizieren zu lassen. Dies erfolgt über die Systemeinstellungen und für den Nutzer erkennbar als Routine von macOS. Rambo erkannte allerdings, dass sich followupd auch von externen Apps ansprechen ließ. Sein Proof-of-Concept besteht aus einem böswilligen Programm, dass followupd dazu verwendet, Nutzer auf ein Phishing-Portal umzuleiten – es gab nämlich keinen Filter für die URLs, die von followupd aufgerufen werden durften. Dies führte Apple schließlich in macOS 11.3 ein, nachdem Rambo das Problem gemeldet hatte. Allerdings wurde die Ansprache des Daemons erst mit macOS 12.3 komplett unterbunden – seither kann nicht mehr „irgendein zufälliges Binary auf dem System“ diesen ansprechen und etwa Benachrichtigungen registrieren, was wiederum das Phishing noch glaubwürdiger machte. Es ist unklar, ob das von Rambo entdeckte Problem jemals von Angreifern ausgenutzt wurde – oder es sich zunächst nur um eine theoretische Möglichkeit handetel. Rambo selbst sind keine Versuche bekannt. Das Bug-Reporting wurde laut seinen Angaben erschwert, weil er die Meldung nicht über einen als Entwickler registrierten Apple-ID-Account abgeschickt hatte. Dies ist allerdings notwendig, um am Bug-Bounty-Programm teilnehmen zu können. Die Verifikationsroutine, die Rambos Phishing-Bug nutzte, ist vielen Nutzern wohlbekannt. So gab es vor einigen Monaten einen Server-Fehler seitens Apple, der zahllose Abfragen ebendieser Account-Daten auf Mac, iPhone, iPad und sogar Apple Watch verlangte. Nutzer taten häufig, wie ihnen befohlen, weil es sich eben um Systemroutinen handelt (oder zu handeln scheint, wäre Rambos Bug ausgenutzt worden).