Sicherheitslücke im macOS-Schlüsselbund: Apple will kein Geld in die Hand nehmen
Mittlerweile ist es einen Monat her, seit bekannt wurde, dass die im Schlüsselbund von macOS gespeicherten Passwörter aufgrund einer Sicherheitslücke nicht ausreichend geschützt sind. Der deutsche Sicherheitsforscher Linus Henze hat demonstriert, wie eine modifizierte Anwendung ohne Administratorzugriff die eigentlich verschlüsselt abgelegten Passwörter auslesen kann. Details zu seiner Vorgehensweise wollte er allerdings erst an Apple weiterleiten, wenn das Unternehmen sich bereit erklärt, Informationen zu schwerwiegenden Sicherheitslücken in branchenüblichem Maß zu vergüten.
Apple hat sich allerdings nicht kooperativ gezeigt und blieb seinem in der Branche kritisierten Sparkurs treu, ein Angebot an den Entwickler blieb somit aus. In Folge dessen hat sich Henze entschlossen, die Details zu der von ihm aufgefundenen Sicherheitslücke an Apple zu übermitteln, obwohl das Unternehmen zu keiner Kooperation bereit war. Die Sicherheitslücke sei zu kritisch und die damit für Mac-Nutzer verbundenen Risiken zu groß.
Henze hat uns auf Anfrage bestätigt, dass Apple sich auf seine erneute Kontaktaufnahme hin schließlich bedankt und zugesichert hat, dass man den Fehler nun analysieren wolle.
Apples Verhalten steigert den Reiz von unseriösen Angeboten
Das Verhalten Henzes darf nicht falsch verstanden werden. Der Mac-Spezialist hatte bei seinem Handeln nicht den persönlichen Vorteil im Auge, sondern kritisiert ein grundsätzliches Problem. Apple bezahlt wenn überhaupt, dann nur deutlich unter dem Branchenüblichen liegende Belohnungen für das Auffinden von Sicherheitslücken. Dies hat zur Folge, dass der Verkauf solcher Informationen in zwielichtigen Kreisen höchst attraktiv wird. Auf dem Schwarzmarkt lassen sich um ein Vielfaches höhere Gewinne erzielen, da nicht nur Kriminelle, sondern oft auch Regierungsorganisationen oder die Anbieter der von Behörde zu horrenden Preisen erworbenen Hacking-Tools stetig auf der Suche nach neuen Mitteln sind, Apples Schutzmaßnahmen für die Privatsphäre zu umgehen.
Dazu kommt, dass Apple nachgesagt wird, derartige Hinweise oft nicht ernst genug zu nehmen. Ein Beispiel dafür ist die im Januar bekannt gewordene FaceTime-Sicherheitslücke. Hier hatte der Hersteller die Hinweise zunächst ignoriert und sich später erst auf öffentlichen Druck hin bei den Auffindern bedankt und erkenntlich gezeigt.
Schlüsselbund speichert alle Passwörter
Der macOS-Schlüsselbund speichert die von euch auf dem Rechner genutzten Passwörter – übrigens auch solche für fremde WLAN-Netze – und zeigt diese nach Eingabe eines Administrator-Kennworts auch im Klartext an. Dementsprechend sind die im Schlüsselbund gespeicherten Informationen hoch sensibel. Mehrfach wurden in der Vergangenheit macOS-Probleme zu Tage gefördert, die zumindest theoretische Risiken im Hinblick auf den Schlüsselbund deutlich machten. Apple sollte hier unbedingt mehr Verantwortungsgefühlt zeigen, und auf Hinweise wie die von Henze engagierter reagieren.
Wow, dazu fällt einem nichts mehr ein …was für Selbstverständnis hat Apple von sich?
Da ist meine Entscheidung, diesen NICHT zu benutzen und etwas Paranoia zu haben dann doch richtig. Ist unbequemer, aber zeigt wieder, dass Bequemlichkeit konträr zur Sicherheit ist.
„Der macOS-Schlüsselbund speichert die von euch auf dem Rechner genutzten Passwörter – übrigens auch solche für fremde WLAN-Netze – und zeigt diese nach Eingabe eines Administrator-Kennworts auch im Klartext an. “
.
ohne weitere Worte
MEIN nächstes Apple Produkt kommt von SAMSUNG !
Als wenn die besser wären… Wer glaubt das wäre irgendwo irgendwie besser ist ein Träumer.
Naj eure Berichterstattung lässt zu wünschen übrig. Um genau zu sein: Apple ht sich bis zum heutigen tage nicht zurück gemeldet. Die hben bisher nicht zugesagt oder nicht abgelehnt. Es kann auch gut sein das sich was im Hintergrund tut. Schön das er von seiner Erpresserschiene wieder runter kommt.
Sonst ist alles ok bei dir oder?
Die haben doch alle keine Ahnung …
Und das weißt du woher?
Es ist eindeutig Apple, die sich hier ungeschickt verhalten. Ein Bounty-Programm wäre generell hilfreich, Sicherheitslücken zu finden und zu schließen. Es war halt ein Versuch mit etwas Druck Apple zu einem solchen Programm zu bewegen. Wäre es Linus Heinze um den persönlichen Profit gegangen, hätte er die Lücke nicht bei Apple gemeldet, sondern im Internet verkauft. Da hätte er sofort deutlich mehr Geld bekommen als von Apple. Apple erhöht durch ihre sture Haltung genau solche Versilberung von Sicherheitslücken. Das schadet Apple und insbesondere den Usern.
Das Problem ist doch, dass Apple die User einen Sch*** interessiert.
Solange wir brav weiter die Augen zuhalten, dem Konzern huldigen und jedes Jahr genug Geld im Store einwerfen, sind wir geduldet ;)
Selbst wenn es so oder so ähnlich wäre, sind 4 Wochen verdammt lang für so ein Problem. Das ist alles andere als gut von Apple.
Dass du immer in meinem Namen solchen Unsinn verbreiten musst. Woher weisst du denn bitte dass sich was im Hintergrund tut? Die Reaktionszeit ist mal wieder bemerkenswert. Am Ende tönen wieder die ganzen Fanboys wie dieser hier: „Toll, dass Apple überhaupt reagiert hat.“ Super. Wann hat sich denn Apple jemals zu etwas gemeldet? Apple sitzt es mal wieder aus, wie etliche Male zuvor. Erst wenn der mediale Druck zu hoch wird reagieren sie. Die Tatsache, dass Apple knausert ist wohl nicht unbegründet, schliesslich hat der gute Mann für seine Mühe keinen Finderlohn bekommen. Aber von uns Kunden erwartet Apple schön kostenlose BETA-Tests. Wozu auch Profis danach suchen lassen, wenn es billig geht, und genau das ist auch die Qualität die Apple abliefert. Premium ist bei Apple nur das Marketinggewäsch.
Erpresserschiene? Selten so ein dummes Zeug gelesen.
Erpresserschiene ? Er bietet eine Leistung an Apple an und die können die kaufen oder nicht. Schon schlimm genug, dass es diese Lücke gibt. Apple hat Milliarden in der Portokasse und ist zu geizig, sich das know-how über eine Sicherheitslücke zu leisten? Da schrillen bei mir alle Alarmglocken…
Pfui und Danke Linus!
Endlich mal einer mit Rückgrat – Gerade Apple hat ja genug Geld in der Hinterhand um die Sicherheitsfeatures, die uns zum Teil auch immer extra berechnet werden oder zu steigenden Gerätepreisen führen, richtig abzusichern bzw. solche Leute zu entlohnen
Ihrer Arroganz bleiben sie sich treu. Bravo, Apple. Was interessieren uns die Nutzer. Sicherheit blablabla… mal wieder.
Kann mir jemand erklären, aus welchen Gründen sich Apple hier so knauserig gibt? Solche Bounties bezahlen die doch aus der Portokasse, aber der PR- Schaden erscheint mir doch enorm.
Apple versucht in erster Linie immer, ein „offizielles Schuldeingeständnis“ zu vermeiden. Durch eine Zahlung an Linus Henze hätten Sie diesen Schritt aber getan.
Aktuell behauptet Herr Henze ja „nur“, dass es diese Lücke gibt. Indem Apple nicht darauf reagiert, bestätigen die somit diese Lücke aber nicht von offizieller Seite. Frei nach dem Motto, „Apple ist unfehlbar“…
…gab immer wieder Geschichten, wo Apple ihr eigenes Versagen versucht hat herunter zu spielen. Erinnert mich gerne ans iPhone 4 zurück. Da wurde im Antennendesign bekanntlich Schrott abgeliefert, Apple hat das aber nie offiziell bestätigt. Als Krönung wurden uns dann noch Bumper „for free“ gegeben. Aber nicht weil die Antenne fehlerhaft war. Sonden weil Apple so gütig und großzügig ist und uns einfach eine Freude machen wollte ;)
Unglaublich dämlich. Die üblichen Bug bounty Vergütungen wären für Apple einfach nur Peanuts. Das könnten die sich locker erlauben das zu bezahlen. Da riskieren die lieber einen Shitstorm nach dem anderen, anstatt die IT Experten für die Jagd nach Fehlern zu bezahlen. Lächerlich! Apple sollte es genau umgekehrt machen und höhere Prämien für Sicherheitslücken bieten als in der Branche üblichen.
Genau das will Apple ja nicht, offiziell einräumen, dass Apple-Geräte/-Software Fehler haben können.
Mit der Denke macht ein Bounty-Programm ja null Sinn, wenn Apple unfehlbar ist ;)
Warum zeigt ihr die guten alten MacBooks mit leuchtenden Apfel? Das ist Geschichte und bitte zeigt das kotzdesign mit glänzenden Logo das alle hier akzeptieren ohne zu murren.
Diser apple Chef ist eine Schande.
Brauchst du etwas Leuchtendes für deinen Workflow oder für den Fame?
Nein, er braucht es wahrscheinlich zur Erinnerung, dass Apple früher u.A. für tolles und innovatives Design gestanden hat.
Leuchtender Apfel ist vintage…
Wer tut denn seine Passwörter in irgendeiner Cloud oder was und wo auch immer Datei speichern? Das Vertrauen in die Technik muss bei manchen grenzenlos sein. Und das hat nichts mit Paranoia zu tun…
Auf welche Cloud beziehen Sie sich? Sind Sie vielleicht im Thema verrutscht? Sie scheinen mir eine Meinung zu haben über ein Thema, das hier gar nicht Gegenstand ist. Wenn Sie Ihre Passwörter auf Papier verwalten und für jeden Login 32 Zeichen „unlogischer“ und unterschiedlicher Zeichen verwenden, dann verneige ich mich mit vollem Respekt vor Ihnen! Ansonsten lässt Ihre Aussage nur zu, dass sie ein Passwort für alles verwenden oder Ihre Aktivität im Internet ein Minimum ist. Sie sind einfach ein paranoider Klugtuer und nicht im aktuellen Jahrzehnt angekommen.
@maja: 1+!
@maja: du klingst verdammt nach momotario ;)
Welche Cloud? -> iCloud meint er sicherlich, denn genau da werden die Passwörter abgelegt. (Es sei denn, man nutzt diese nicht und der Schlüsselbund ist somit ausschließlich lokal)
Wie dem auch sei, gibt es genug sichere Möglichkeiten, seine Passwörter zu sichern -> bspw. mithilfe von HW-Dongles. Über das Thema (sichere) Passwörter kann man ausschweifend diskutieren, sollte hier jetzt aber nicht Gegenstand sein ;)
Generell ist gesunde Skepsis gegenüber closed-source immer angebracht, ja auch ggü Apple! (Ich kann auch gern nochmal darauf hinweisen: Solange der CEO einer amerikanischen Firma nebenbei noch Berater von D. Trump ist, können sie von angeblichem Datenschutz reden soviel sie wollen, es ist einfach Quatsch. Und man sollte sich dessen bewusst sein, was man wem anvertraut.
Besser aber diese 32 Passwörter ohne Papier merken. Denn dieses kann auch in die Hände von Dritten kommen. Dann verneige ich mich auch ;-)
https://blog.fefe.de/?ts=a2a3bbe4
Fefe bringt es am Ende des Kommentars auf den Punkt: es fehlt eine Produkthaftung für Software! Wer kaputte Software ausliefert muss dafür haften.
Ihr schreibt hier schon merkwürdige Artikel und die Kommetare sind genauso. Dem Henze geht es genauso wie Apple ums Geld. Auch wenn sie sich so darstellen, Helden sind sie beide nicht. Und der Henze bietet ungefragt eine Leistung und möchte seinen Wunschkunden zwingen diese zu kaufen. Dafür spannt er die Öffentlichkeit ein.
Es gibt super viele Menschen, die ihr Geld damit verdienen Sicherheitslücken in Systemen (Hard- und Software) zu finden. Das ist ein stinknormaler „Beruf“. Die bounty-Programme sollen dazu animieren.
Wenn du hier von betrügern oder sonstigem redest, scheinst du einfach keine Ahnung zu haben. Apple hat auch ein bug-bounty-Programm, nur wollen sie nicht für jedes OS bezahlen. Selbst schuld.
Du solltest mal an deiner Lesekompetenz arbeiten.
Wenn der Gute etwas für Firmen macht die Bug-Bounty Programme ausschreiben ist das OK. Man kann aber niemanden seine nicht nachgefragte Leistung aufzwingen und dafür Geld verlangen.
Gast48, du solltest dich mal zurückhalten. Du scheinst nur eine Quelle (ifun) zu kennen, also mach mal halblang, bevor du persönlich wirst.
Apple hat ein bug-bounty-Programm. Und wenn sie keines hätten, sollten sie trotzdem solche Informationen kaufen. Ihnen wurde nichts aufgezwungen, sondern angeboten. Wenn Apple meint, sie hätten es nicht nötig, solch sensible Daten zu schützen, ist das Apples Sache, wenn ihnen daran etwas liegt, dann gibt sollten sie glücklich sein, dass jemand sich die Arbeit macht, ihre Software zu durchleuchten.
Super, du arbeitest also umsonst. Hätte da ńen Job für dich!
Ne, ich arbeite NICHT umsonst sondern für Auftraggeber die mich BEAUTRAGT haben. Ich mache nicht einfach was und versuche dafür Geld von Leuten zu bekommen die mich nicht beauftragt haben.
Wer weiß. Vielleicht ist die Schwachstelle ja auch bereits anderweitig bekannt und es werden schon fleißig Passwörter gezogen. Da würde ich mir als Apple auch das Geld einschl. Schuldeingeständnis sparen. Wenn jetzt plötzlich eure Passwörter genutzt werden, kann Apple sich immer rausreden, dass mit dem Schlüsselbund zu keiner Zeit eine Gefahr bestanden hat.
Wenn jemand eine Lücke gefunden hat, dauert es in der Regel nicht lange, bis die auch jemand anderes findet. Und nein, Apple kann sich damit nicht rausreden, da sie öffentlich darauf aufmerksam gemacht wurden, dass es eine Möglichkeit gibt eine Schwachstelle auszunutzen.
Wie kreativ Apple beim rausreden ist, hat man beim Thema Akku / Performancedrosselung gesehen. Vielleicht sollten sie einen Preis für die beste Marketingausrede ausloben. Pflichtfloskeln: Bestes Benutzererlebnis, Privatsphäre ist heilig, Noch viel in der Pipeline.
„Das Verhalten Henzes darf nicht falsch verstanden werden. Der Mac-Spezialist hatte bei seinem Handeln nicht den persönlichen Vorteil im Auge, sondern kritisiert ein grundsätzliches Problem.“
HAHAHA.–ich lach mich schlapp! Henze versucht Apple zum Wohl aller zu erpressen. Echt jetzt? Gibt er die Kohle denn dann auch an die Apple User weiter? So nach Art Robin Hood?
Hier kann ich Apple nicht verstehen. Mit Abstand das reichste Unternehmen, aber dann Bug-Hunter nicht mal branchenüblich belohnen wollen. Ich meine, jeder kann es machen wie er möchte, aber die Konsequenz ist einfach: Wird eine Sicherheitslücke gefunden, wird sie halt zukünfig immer an die andere Seite verkauft, egal was der moralische Kompass des Bug-Hunters eigentlich möchte. Wozu sich mit Apple rumstreiten, wenn andere ohne Probleme mehr zahlen.
Den Schaden hat am Ende Apple bzw. deren Kunden. Denn je mehr Sicherheitslücken in der freien Wildbahn auftauchen bevor sie Apple irgendwie bemerkt, desto stärker leidet die Apple Infrastruktur und das Vertrauen der Kunden.
Mir ist es aus erwähnten Gründen auch unverständlich. Und zunehmend fehlt mir die Zeit und Lust, die Gedankengänge dieses Unternehmens nachzuvollziehen. Vieles ist nur noch grotesk. Von mir aus kann Apple den Gang allen Seins gehen, um es höflich zu formulieren.
Dann nimm dir ein Beispiel und geh voran!
Um die Diskussion zu versachlichen: Wer weiß von Euch wie hoch ein „branchenübliche Vergütung“ ist?
Denke das ist nicht ganz irrelevant. Ich weiß es leider nicht!?
Vor Jahren hatte man mal Zu Treffen eingeladen um die Systeme ausgiebig zu testen und auf Schwachstellen zu untersuchen. Ob nun von den Herstellern dies selbst veranstaltet wurde oder andere Unternehmen vermag jetzt nicht sicher zu sagen, aber es gab Sie. Heute haut man die Systeme kostenlos auf den Markt mit kleinen „Verbesserungen und schmeißt gute Hardware aus der Servicebetreuung um modernere Hardware an Mann oder Frau für gutes Geld zu bringen. Mit welchen Systemen arbeitet man eigentlich heute in so komplexen Anlagen und Geräten wie zB. im Weltraum „ISS“.
Link-Tipp: 20 Jahre ISS: Schwebende Laptops und 80er-Jahre-Chips
http://www.tagesschau.de/ausla.....s-101.html
An Henzes‘ Stelle hätte ich Apple vor eine Wahl gestellt, in „wasserdichter“ Art und Weise, versteht sich.
Daß Apple auf dem Rücken seiner Entwickler und Kunden spart, müßte doch inzwischen auch dem Allerletzten klar sein.
Im Apfel ist der Wurm …
Warum lässt Apple nicht wenigstens warengutscheine springen, die Kosten Apple kaum was und Dir Motivation für den bug Finder ist höher
Da macht sich ein technisch versierter ans werk und macht den job, den man eigentlich von apple erwartet, sprich: sicherheitsfehler finden und anschließend an lösungen arbeiten, und was passoert?
Dieser großkotzkonzern hat nichtmal den anstand, das problem bestmöglich zu beheben, also mit dem guten herrn henze zu kooperieren und ihn NATÜRLICH dafür zu entschädigen.
Wer hier henze den vorwurf macht er wäre aufs Geld aus, sollte seine gehirnzellen mal auf trab bringen.
Echt eine schande was apple für einen weg geht, ich werde denen kein geld für ihre künftigen services in den rachen schmeissen.
Googles Project Zero hat gestern auch erst wieder eine neue Lücke im MacOS-Kernel veröffentlicht, nachdem 90 Tage seit der Meldung bei Apple vergangen sind und noch kein Patch zur Verfügung steht. Die Schwere der Lücke wird als hoch eingestuft.