Infos zu Schwachstelle jetzt kostenlos übermittelt
Sicherheitslücke im macOS-Schlüsselbund: Apple will kein Geld in die Hand nehmen
Mittlerweile ist es einen Monat her, seit bekannt wurde, dass die im Schlüsselbund von macOS gespeicherten Passwörter aufgrund einer Sicherheitslücke nicht ausreichend geschützt sind. Der deutsche Sicherheitsforscher Linus Henze hat demonstriert, wie eine modifizierte Anwendung ohne Administratorzugriff die eigentlich verschlüsselt abgelegten Passwörter auslesen kann. Details zu seiner Vorgehensweise wollte er allerdings erst an Apple weiterleiten, wenn das Unternehmen sich bereit erklärt, Informationen zu schwerwiegenden Sicherheitslücken in branchenüblichem Maß zu vergüten.
Apple hat sich allerdings nicht kooperativ gezeigt und blieb seinem in der Branche kritisierten Sparkurs treu, ein Angebot an den Entwickler blieb somit aus. In Folge dessen hat sich Henze entschlossen, die Details zu der von ihm aufgefundenen Sicherheitslücke an Apple zu übermitteln, obwohl das Unternehmen zu keiner Kooperation bereit war. Die Sicherheitslücke sei zu kritisch und die damit für Mac-Nutzer verbundenen Risiken zu groß.
Henze hat uns auf Anfrage bestätigt, dass Apple sich auf seine erneute Kontaktaufnahme hin schließlich bedankt und zugesichert hat, dass man den Fehler nun analysieren wolle.
Apples Verhalten steigert den Reiz von unseriösen Angeboten
Das Verhalten Henzes darf nicht falsch verstanden werden. Der Mac-Spezialist hatte bei seinem Handeln nicht den persönlichen Vorteil im Auge, sondern kritisiert ein grundsätzliches Problem. Apple bezahlt wenn überhaupt, dann nur deutlich unter dem Branchenüblichen liegende Belohnungen für das Auffinden von Sicherheitslücken. Dies hat zur Folge, dass der Verkauf solcher Informationen in zwielichtigen Kreisen höchst attraktiv wird. Auf dem Schwarzmarkt lassen sich um ein Vielfaches höhere Gewinne erzielen, da nicht nur Kriminelle, sondern oft auch Regierungsorganisationen oder die Anbieter der von Behörde zu horrenden Preisen erworbenen Hacking-Tools stetig auf der Suche nach neuen Mitteln sind, Apples Schutzmaßnahmen für die Privatsphäre zu umgehen.
Dazu kommt, dass Apple nachgesagt wird, derartige Hinweise oft nicht ernst genug zu nehmen. Ein Beispiel dafür ist die im Januar bekannt gewordene FaceTime-Sicherheitslücke. Hier hatte der Hersteller die Hinweise zunächst ignoriert und sich später erst auf öffentlichen Druck hin bei den Auffindern bedankt und erkenntlich gezeigt.
Schlüsselbund speichert alle Passwörter
Der macOS-Schlüsselbund speichert die von euch auf dem Rechner genutzten Passwörter – übrigens auch solche für fremde WLAN-Netze – und zeigt diese nach Eingabe eines Administrator-Kennworts auch im Klartext an. Dementsprechend sind die im Schlüsselbund gespeicherten Informationen hoch sensibel. Mehrfach wurden in der Vergangenheit macOS-Probleme zu Tage gefördert, die zumindest theoretische Risiken im Hinblick auf den Schlüsselbund deutlich machten. Apple sollte hier unbedingt mehr Verantwortungsgefühlt zeigen, und auf Hinweise wie die von Henze engagierter reagieren.