taz.de -- IT-Experte über Softwarefehler bei Apple: „Nicht der erste Fehler“

Apples Betriebssystem für Desktop-Computer enthielt eine Sicherheitslücke. Ein IT-Experte erklärt, wie solche Fehler gefunden und gemeldet werden.
Bild: Sollten Mac-Nutzer umgehend durchführen: Installation des neuen Updates für Apple-Computer

Das neue Desktop-Betriebssystem von [1][Apple] hat ein Sicherheitsproblem. Wer will, kann bei anderen einen Benutzeraccount mit allen Zugangsrechten anlegen – und so zum Beispiel die Daten des Besitzers oder der Besitzerin auslesen. Apple hat am frühen Mittwochabend bereits [2][ein Sicherheitsupdate bereitgestellt].

taz: Herr Gierow, worin besteht die aktuelle Sicherheitslücke und wen betrifft sie?

Hauke Gierow: Die Sicherheitslücke betrifft potenziell alle Nutzer des Apple-Betriebssystems MacOS High Sierra, die das am Mittwochabend veröffentlichte Update noch nicht installiert haben. Bei ihnen ist ein Zugriff auf einen privilegierten Account, auch root genannt, möglich, ohne dass ein Passwort eingegeben werden muss. Mit so einem Account können zum Beispiel alle Dateien auf dem Computer angeschaut und bearbeitet werden. Diesen Zugang kann man allerdings nur einrichten, wenn der Computer bereits entsperrt und ein Administrator-Account eingeloggt ist.

Warum fallen solche gravierenden Sicherheitslücken nicht intern bei Apple auf, bevor das Betriebssystem auf den Markt geht?

Es ist tatsächlich nicht der erste Fehler in Apples aktuellem Desktop-Betriebssystem. Kürzlich wurde das Passwort einer verschlüsselten Festplatte angezeigt, wenn man den Erinnerungshinweis aufrief. Da hat die Abteilung zur Qualitätssicherung bei Apple offensichtlich geschlafen. Apple konzentriert sich seit Jahren sehr stark auf sein mobiles Betriebssystem iOS, das auf iPhones zum Einsatz kommt. Kritiker werfen dem Konzern vor, die Entwicklung des Desktop-Betriebssystems deshalb langsamer voranzutreiben. Apple verdient am meisten Geld mit dem iPhone, weshalb das aus betriebswirtschaftlicher Sicht logisch ist. Ein iPhone ist tatsächlich auch das sicherste Smartphone, das man derzeit kaufen kann.

Wie werden Sicherheitslücken in der Regel gefunden?

Es gibt immer mal wieder Zufallsfunde bei Softwarefehlern, wie es hier wahrscheinlich der Fall war. Das ist aber nicht die Regel. Es gibt eine Reihe von Techniken, die dafür gezielt angewandt werden. So schauen sich Menschen beispielsweise Software-Bibliotheken und den eigentlichen Code genau an, sofern er offen zugänglich ist. Außerdem überprüfen Sicherheitsforscher Computerprogramme, indem automatisiert viele verschiedene Zufallseingaben gemacht werden, die ein unübliches Verhalten sichtbar machen sollen.

Ein Softwareentwickler hat den Fehler entdeckt und auf Twitter öffentlich gemacht, [3][wofür er kritisiert wird]. Er selbst [4][gibt an], Apple sei im Vorfeld informiert worden. Gibt es Regeln für das Melden von Sicherheitslücken?

Es ist eigentlich der Normfall, dass so etwas vorab an den Hersteller gemeldet wird. Das wird Responsible Disclosure [auf deutsch etwa verantwortungsvolle Enthüllung, Anm. d. Red.] genannt. Es ist aber immer eine Abwägung, bei der Fragen nach den möglichen Auswirkungen und der Durchführbarkeit eines Angriffs gestellt werden. Es gibt Hersteller, die generell kaum auf solche vertraulichen Berichte antworten. Apple hat zwar ein sogenanntes Bug-Bounty-Programm, was Hinweise von Sicherheitsforschern belohnt. Es gilt aber nur für iOS und nicht für MacOS. Daran kann man wieder die Priorisierung des mobilen Betriebssystems erkennen.

29 Nov 2017

LINKS

[1] /Apple/!t5010834/
[2] https://support.apple.com/de-de/HT208315
[3] https://twitter.com/aaomidi/status/935610090895364102
[4] https://medium.com/@lemiorhan/the-story-behind-anyone-can-login-as-root-tweet-33731b5ded71

AUTOREN

Jonas Schönfelder

TAGS

Apple
IT-Sicherheit
Hacker
IT-Sicherheit
Apple
Amazon
Apple
Hacker

ARTIKEL ZUM THEMA

Sicherheitslücke bei Prozessoren: Milliarden Geräte gefährdet

Forscher haben eine Schwachstelle bei Computerchips festgestellt. Betroffen können fast alle Systeme sein. Teilweise müssen Prozessoren ausgetauscht werden.

Kritik an Apple: Alte I-Phones absichtlich verlangsamt

Apple räumt ein, ältere Modelle absichtlich zu drosseln. Nach heftiger Kritik entschuldigt sich der Konzern – und kündigt Rabatte für neue Akkus an.

Steuerdeals von Apple und Amazon: EU-Kommission erhöht Druck

Die EU-Kommission stuft einen Steuerdeal zwischen Amazon und Luxemburg als illegal ein. Auch im Fall von Apple in Irland greift die EU ein.

Neues iPhone X von Apple: Teurer als ein Rechner

Der US-Konzern schleudert ein neues Modell seines Erfolgsprodukts auf den Markt. Das hochgerüstete Gerät kostet über 1.100 Euro bei Minimalausstattung.

Telekom und Cyberkriminalität: Wer haftet für Hacker?

Die Telekom fordert eine gesetzliche Update-Pflicht für Soft- und Hardwarefirmen. 900.000 ihrer Kunden waren Opfer einer Cyberattacke.