 |
# taz.de -- IT-Experte über Softwarefehler bei Apple: „Nicht der erste Fehle… |
|
|
|
> Apples Betriebssystem für Desktop-Computer enthielt eine |
|
> Sicherheitslücke. Ein IT-Experte erklärt, wie solche Fehler gefunden und |
|
> gemeldet werden. |
|
|
 |
Bild: Sollten Mac-Nutzer umgehend durchführen: Installation des neuen Updates … |
|
|
|
Das neue Desktop-Betriebssystem von [1][Apple] hat ein Sicherheitsproblem. |
|
Wer will, kann bei anderen einen Benutzeraccount mit allen Zugangsrechten |
|
anlegen – und so zum Beispiel die Daten des Besitzers oder der Besitzerin |
|
auslesen. Apple hat am frühen Mittwochabend bereits [2][ein |
|
Sicherheitsupdate bereitgestellt]. |
|
|
|
taz: Herr Gierow, worin besteht die aktuelle Sicherheitslücke und wen |
|
betrifft sie? |
|
|
|
Hauke Gierow: Die Sicherheitslücke betrifft potenziell alle Nutzer des |
|
Apple-Betriebssystems MacOS High Sierra, die das am Mittwochabend |
|
veröffentlichte Update noch nicht installiert haben. Bei ihnen ist ein |
|
Zugriff auf einen privilegierten Account, auch root genannt, möglich, ohne |
|
dass ein Passwort eingegeben werden muss. Mit so einem Account können zum |
|
Beispiel alle Dateien auf dem Computer angeschaut und bearbeitet werden. |
|
Diesen Zugang kann man allerdings nur einrichten, wenn der Computer bereits |
|
entsperrt und ein Administrator-Account eingeloggt ist. |
|
|
|
Warum fallen solche gravierenden Sicherheitslücken nicht intern bei Apple |
|
auf, bevor das Betriebssystem auf den Markt geht? |
|
|
|
Es ist tatsächlich nicht der erste Fehler in Apples aktuellem |
|
Desktop-Betriebssystem. Kürzlich wurde das Passwort einer verschlüsselten |
|
Festplatte angezeigt, wenn man den Erinnerungshinweis aufrief. Da hat die |
|
Abteilung zur Qualitätssicherung bei Apple offensichtlich geschlafen. Apple |
|
konzentriert sich seit Jahren sehr stark auf sein mobiles Betriebssystem |
|
iOS, das auf iPhones zum Einsatz kommt. Kritiker werfen dem Konzern vor, |
|
die Entwicklung des Desktop-Betriebssystems deshalb langsamer |
|
voranzutreiben. Apple verdient am meisten Geld mit dem iPhone, weshalb das |
|
aus betriebswirtschaftlicher Sicht logisch ist. Ein iPhone ist tatsächlich |
|
auch das sicherste Smartphone, das man derzeit kaufen kann. |
|
|
|
Wie werden Sicherheitslücken in der Regel gefunden? |
|
|
|
Es gibt immer mal wieder Zufallsfunde bei Softwarefehlern, wie es hier |
|
wahrscheinlich der Fall war. Das ist aber nicht die Regel. Es gibt eine |
|
Reihe von Techniken, die dafür gezielt angewandt werden. So schauen sich |
|
Menschen beispielsweise Software-Bibliotheken und den eigentlichen Code |
|
genau an, sofern er offen zugänglich ist. Außerdem überprüfen |
|
Sicherheitsforscher Computerprogramme, indem automatisiert viele |
|
verschiedene Zufallseingaben gemacht werden, die ein unübliches Verhalten |
|
sichtbar machen sollen. |
|
|
|
Ein Softwareentwickler hat den Fehler entdeckt und auf Twitter öffentlich |
|
gemacht, [3][wofür er kritisiert wird]. Er selbst [4][gibt an], Apple sei |
|
im Vorfeld informiert worden. Gibt es Regeln für das Melden von |
|
Sicherheitslücken? |
|
|
|
Es ist eigentlich der Normfall, dass so etwas vorab an den Hersteller |
|
gemeldet wird. Das wird Responsible Disclosure [auf deutsch etwa |
|
verantwortungsvolle Enthüllung, Anm. d. Red.] genannt. Es ist aber immer |
|
eine Abwägung, bei der Fragen nach den möglichen Auswirkungen und der |
|
Durchführbarkeit eines Angriffs gestellt werden. Es gibt Hersteller, die |
|
generell kaum auf solche vertraulichen Berichte antworten. Apple hat zwar |
|
ein sogenanntes Bug-Bounty-Programm, was Hinweise von Sicherheitsforschern |
|
belohnt. Es gilt aber nur für iOS und nicht für MacOS. Daran kann man |
|
wieder die Priorisierung des mobilen Betriebssystems erkennen. |
|
|
|
29 Nov 2017 |
|
|
|
## LINKS |
|
|
 |
[1] /Apple/!t5010834/ |
|
[2] https://support.apple.com/de-de/HT208315 |
|
[3] https://twitter.com/aaomidi/status/935610090895364102 |
|
[4] https://medium.com/@lemiorhan/the-story-behind-anyone-can-login-as-root-twe… |
|
|
|
## AUTOREN |
|
|
|
Jonas Schönfelder |
|
|
|
## TAGS |
|
|
|
Apple |
|
IT-Sicherheit |
|
Hacker |
|
IT-Sicherheit |
|
Apple |
|
Amazon |
|
Apple |
|
Hacker |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Sicherheitslücke bei Prozessoren: Milliarden Geräte gefährdet |
|
|
|
Forscher haben eine Schwachstelle bei Computerchips festgestellt. Betroffen |
|
können fast alle Systeme sein. Teilweise müssen Prozessoren ausgetauscht |
|
werden. |
|
|
|
Kritik an Apple: Alte I-Phones absichtlich verlangsamt |
|
|
|
Apple räumt ein, ältere Modelle absichtlich zu drosseln. Nach heftiger |
|
Kritik entschuldigt sich der Konzern – und kündigt Rabatte für neue Akkus |
|
an. |
|
|
|
Steuerdeals von Apple und Amazon: EU-Kommission erhöht Druck |
|
|
|
Die EU-Kommission stuft einen Steuerdeal zwischen Amazon und Luxemburg als |
|
illegal ein. Auch im Fall von Apple in Irland greift die EU ein. |
|
|
|
Neues iPhone X von Apple: Teurer als ein Rechner |
|
|
|
Der US-Konzern schleudert ein neues Modell seines Erfolgsprodukts auf den |
|
Markt. Das hochgerüstete Gerät kostet über 1.100 Euro bei |
|
Minimalausstattung. |
|
|
|
Telekom und Cyberkriminalität: Wer haftet für Hacker? |
|
|
|
Die Telekom fordert eine gesetzliche Update-Pflicht für Soft- und |
|
Hardwarefirmen. 900.000 ihrer Kunden waren Opfer einer Cyberattacke. |
