{"id":134399,"date":"2019-03-04T07:09:24","date_gmt":"2019-03-04T06:09:24","guid":{"rendered":"https:\/\/www.ifun.de\/?p=134399"},"modified":"2019-03-04T07:09:24","modified_gmt":"2019-03-04T06:09:24","slug":"sicherheitsluecke-im-macos-schluesselbund-apple-will-kein-geld-in-die-hand-nehmen","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/sicherheitsluecke-im-macos-schluesselbund-apple-will-kein-geld-in-die-hand-nehmen-134399\/","title":{"rendered":"Sicherheitsl\u00fccke im macOS-Schl\u00fcsselbund: Apple will kein Geld in die Hand nehmen"},"content":{"rendered":"

Mittlerweile ist es einen Monat her, seit bekannt wurde<\/a>, dass die im Schl\u00fcsselbund von macOS gespeicherten Passw\u00f6rter aufgrund einer Sicherheitsl\u00fccke nicht ausreichend gesch\u00fctzt sind. Der deutsche Sicherheitsforscher Linus Henze hat demonstriert, wie eine modifizierte Anwendung ohne Administratorzugriff die eigentlich verschl\u00fcsselt abgelegten Passw\u00f6rter auslesen kann. Details zu seiner Vorgehensweise wollte er allerdings erst an Apple weiterleiten, wenn das Unternehmen sich bereit erkl\u00e4rt, Informationen zu schwerwiegenden Sicherheitsl\u00fccken in branchen\u00fcblichem Ma\u00df zu verg\u00fcten.<\/p>\n

\"Macos<\/a><\/p>\n

Apple hat sich allerdings nicht kooperativ gezeigt und blieb seinem in der Branche kritisierten<\/a> Sparkurs treu, ein Angebot an den Entwickler blieb somit aus. In Folge dessen hat sich Henze entschlossen, die Details zu der von ihm aufgefundenen Sicherheitsl\u00fccke an Apple zu \u00fcbermitteln, obwohl das Unternehmen zu keiner Kooperation bereit war. Die Sicherheitsl\u00fccke sei zu kritisch und die damit f\u00fcr Mac-Nutzer verbundenen Risiken zu gro\u00df.<\/p>\n

Henze hat uns auf Anfrage best\u00e4tigt, dass Apple sich auf seine erneute Kontaktaufnahme hin schlie\u00dflich bedankt und zugesichert hat, dass man den Fehler nun analysieren wolle.<\/p>\n

Apples Verhalten steigert den Reiz von unseri\u00f6sen Angeboten<\/h2>\n

Das Verhalten Henzes darf nicht falsch verstanden werden. Der Mac-Spezialist hatte bei seinem Handeln nicht den pers\u00f6nlichen Vorteil im Auge, sondern kritisiert ein grunds\u00e4tzliches Problem. Apple bezahlt wenn \u00fcberhaupt, dann nur deutlich unter dem Branchen\u00fcblichen<\/a> liegende Belohnungen f\u00fcr das Auffinden von Sicherheitsl\u00fccken. Dies hat zur Folge, dass der Verkauf solcher Informationen in zwielichtigen Kreisen h\u00f6chst attraktiv wird. Auf dem Schwarzmarkt lassen sich um ein Vielfaches h\u00f6here Gewinne erzielen, da nicht nur Kriminelle, sondern oft auch Regierungsorganisationen oder die Anbieter der von Beh\u00f6rde zu horrenden Preisen erworbenen Hacking-Tools<\/a> stetig auf der Suche nach neuen Mitteln sind, Apples Schutzma\u00dfnahmen f\u00fcr die Privatsph\u00e4re zu umgehen.<\/p>\n

Dazu kommt, dass Apple nachgesagt wird, derartige Hinweise oft nicht ernst genug zu nehmen. Ein Beispiel daf\u00fcr ist die im Januar bekannt gewordene FaceTime-Sicherheitsl\u00fccke<\/a>. Hier hatte der Hersteller die Hinweise zun\u00e4chst ignoriert und sich sp\u00e4ter erst auf \u00f6ffentlichen Druck hin bei den Auffindern bedankt und erkenntlich gezeigt.<\/p>\n

Schl\u00fcsselbund speichert alle Passw\u00f6rter <\/h2>\n

Der macOS-Schl\u00fcsselbund<\/a> speichert die von euch auf dem Rechner genutzten Passw\u00f6rter – \u00fcbrigens auch solche f\u00fcr fremde WLAN-Netze<\/a> – und zeigt diese nach Eingabe eines Administrator-Kennworts auch im Klartext an. Dementsprechend sind die im Schl\u00fcsselbund gespeicherten Informationen hoch sensibel. Mehrfach wurden in der Vergangenheit macOS-Probleme zu Tage gef\u00f6rdert, die zumindest theoretische Risiken im Hinblick auf den Schl\u00fcsselbund deutlich machten. Apple sollte hier unbedingt mehr Verantwortungsgef\u00fchlt zeigen, und auf Hinweise wie die von Henze engagierter reagieren.<\/p>\n