# taz.de -- IT-Experte über Softwarefehler bei Apple: „Nicht der erste Fehle… | |
> Apples Betriebssystem für Desktop-Computer enthielt eine | |
> Sicherheitslücke. Ein IT-Experte erklärt, wie solche Fehler gefunden und | |
> gemeldet werden. | |
Bild: Sollten Mac-Nutzer umgehend durchführen: Installation des neuen Updates … | |
Das neue Desktop-Betriebssystem von [1][Apple] hat ein Sicherheitsproblem. | |
Wer will, kann bei anderen einen Benutzeraccount mit allen Zugangsrechten | |
anlegen – und so zum Beispiel die Daten des Besitzers oder der Besitzerin | |
auslesen. Apple hat am frühen Mittwochabend bereits [2][ein | |
Sicherheitsupdate bereitgestellt]. | |
taz: Herr Gierow, worin besteht die aktuelle Sicherheitslücke und wen | |
betrifft sie? | |
Hauke Gierow: Die Sicherheitslücke betrifft potenziell alle Nutzer des | |
Apple-Betriebssystems MacOS High Sierra, die das am Mittwochabend | |
veröffentlichte Update noch nicht installiert haben. Bei ihnen ist ein | |
Zugriff auf einen privilegierten Account, auch root genannt, möglich, ohne | |
dass ein Passwort eingegeben werden muss. Mit so einem Account können zum | |
Beispiel alle Dateien auf dem Computer angeschaut und bearbeitet werden. | |
Diesen Zugang kann man allerdings nur einrichten, wenn der Computer bereits | |
entsperrt und ein Administrator-Account eingeloggt ist. | |
Warum fallen solche gravierenden Sicherheitslücken nicht intern bei Apple | |
auf, bevor das Betriebssystem auf den Markt geht? | |
Es ist tatsächlich nicht der erste Fehler in Apples aktuellem | |
Desktop-Betriebssystem. Kürzlich wurde das Passwort einer verschlüsselten | |
Festplatte angezeigt, wenn man den Erinnerungshinweis aufrief. Da hat die | |
Abteilung zur Qualitätssicherung bei Apple offensichtlich geschlafen. Apple | |
konzentriert sich seit Jahren sehr stark auf sein mobiles Betriebssystem | |
iOS, das auf iPhones zum Einsatz kommt. Kritiker werfen dem Konzern vor, | |
die Entwicklung des Desktop-Betriebssystems deshalb langsamer | |
voranzutreiben. Apple verdient am meisten Geld mit dem iPhone, weshalb das | |
aus betriebswirtschaftlicher Sicht logisch ist. Ein iPhone ist tatsächlich | |
auch das sicherste Smartphone, das man derzeit kaufen kann. | |
Wie werden Sicherheitslücken in der Regel gefunden? | |
Es gibt immer mal wieder Zufallsfunde bei Softwarefehlern, wie es hier | |
wahrscheinlich der Fall war. Das ist aber nicht die Regel. Es gibt eine | |
Reihe von Techniken, die dafür gezielt angewandt werden. So schauen sich | |
Menschen beispielsweise Software-Bibliotheken und den eigentlichen Code | |
genau an, sofern er offen zugänglich ist. Außerdem überprüfen | |
Sicherheitsforscher Computerprogramme, indem automatisiert viele | |
verschiedene Zufallseingaben gemacht werden, die ein unübliches Verhalten | |
sichtbar machen sollen. | |
Ein Softwareentwickler hat den Fehler entdeckt und auf Twitter öffentlich | |
gemacht, [3][wofür er kritisiert wird]. Er selbst [4][gibt an], Apple sei | |
im Vorfeld informiert worden. Gibt es Regeln für das Melden von | |
Sicherheitslücken? | |
Es ist eigentlich der Normfall, dass so etwas vorab an den Hersteller | |
gemeldet wird. Das wird Responsible Disclosure [auf deutsch etwa | |
verantwortungsvolle Enthüllung, Anm. d. Red.] genannt. Es ist aber immer | |
eine Abwägung, bei der Fragen nach den möglichen Auswirkungen und der | |
Durchführbarkeit eines Angriffs gestellt werden. Es gibt Hersteller, die | |
generell kaum auf solche vertraulichen Berichte antworten. Apple hat zwar | |
ein sogenanntes Bug-Bounty-Programm, was Hinweise von Sicherheitsforschern | |
belohnt. Es gilt aber nur für iOS und nicht für MacOS. Daran kann man | |
wieder die Priorisierung des mobilen Betriebssystems erkennen. | |
29 Nov 2017 | |
## LINKS | |
[1] /Apple/!t5010834/ | |
[2] https://support.apple.com/de-de/HT208315 | |
[3] https://twitter.com/aaomidi/status/935610090895364102 | |
[4] https://medium.com/@lemiorhan/the-story-behind-anyone-can-login-as-root-twe… | |
## AUTOREN | |
Jonas Schönfelder | |
## TAGS | |
Apple | |
IT-Sicherheit | |
Hacker | |
IT-Sicherheit | |
Apple | |
Amazon | |
Apple | |
Hacker | |
## ARTIKEL ZUM THEMA | |
Sicherheitslücke bei Prozessoren: Milliarden Geräte gefährdet | |
Forscher haben eine Schwachstelle bei Computerchips festgestellt. Betroffen | |
können fast alle Systeme sein. Teilweise müssen Prozessoren ausgetauscht | |
werden. | |
Kritik an Apple: Alte I-Phones absichtlich verlangsamt | |
Apple räumt ein, ältere Modelle absichtlich zu drosseln. Nach heftiger | |
Kritik entschuldigt sich der Konzern – und kündigt Rabatte für neue Akkus | |
an. | |
Steuerdeals von Apple und Amazon: EU-Kommission erhöht Druck | |
Die EU-Kommission stuft einen Steuerdeal zwischen Amazon und Luxemburg als | |
illegal ein. Auch im Fall von Apple in Irland greift die EU ein. | |
Neues iPhone X von Apple: Teurer als ein Rechner | |
Der US-Konzern schleudert ein neues Modell seines Erfolgsprodukts auf den | |
Markt. Das hochgerüstete Gerät kostet über 1.100 Euro bei | |
Minimalausstattung. | |
Telekom und Cyberkriminalität: Wer haftet für Hacker? | |
Die Telekom fordert eine gesetzliche Update-Pflicht für Soft- und | |
Hardwarefirmen. 900.000 ihrer Kunden waren Opfer einer Cyberattacke. |