IT-Experte über Softwarefehler bei Apple: „Nicht der erste Fehler“
Apples Betriebssystem für Desktop-Computer enthielt eine Sicherheitslücke. Ein IT-Experte erklärt, wie solche Fehler gefunden und gemeldet werden.
Das neue Desktop-Betriebssystem von Apple hat ein Sicherheitsproblem. Wer will, kann bei anderen einen Benutzeraccount mit allen Zugangsrechten anlegen – und so zum Beispiel die Daten des Besitzers oder der Besitzerin auslesen. Apple hat am frühen Mittwochabend bereits ein Sicherheitsupdate bereitgestellt.
taz: Herr Gierow, worin besteht die aktuelle Sicherheitslücke und wen betrifft sie?
Hauke Gierow: Die Sicherheitslücke betrifft potenziell alle Nutzer des Apple-Betriebssystems MacOS High Sierra, die das am Mittwochabend veröffentlichte Update noch nicht installiert haben. Bei ihnen ist ein Zugriff auf einen privilegierten Account, auch root genannt, möglich, ohne dass ein Passwort eingegeben werden muss. Mit so einem Account können zum Beispiel alle Dateien auf dem Computer angeschaut und bearbeitet werden. Diesen Zugang kann man allerdings nur einrichten, wenn der Computer bereits entsperrt und ein Administrator-Account eingeloggt ist.
Warum fallen solche gravierenden Sicherheitslücken nicht intern bei Apple auf, bevor das Betriebssystem auf den Markt geht?
Es ist tatsächlich nicht der erste Fehler in Apples aktuellem Desktop-Betriebssystem. Kürzlich wurde das Passwort einer verschlüsselten Festplatte angezeigt, wenn man den Erinnerungshinweis aufrief. Da hat die Abteilung zur Qualitätssicherung bei Apple offensichtlich geschlafen. Apple konzentriert sich seit Jahren sehr stark auf sein mobiles Betriebssystem iOS, das auf iPhones zum Einsatz kommt. Kritiker werfen dem Konzern vor, die Entwicklung des Desktop-Betriebssystems deshalb langsamer voranzutreiben. Apple verdient am meisten Geld mit dem iPhone, weshalb das aus betriebswirtschaftlicher Sicht logisch ist. Ein iPhone ist tatsächlich auch das sicherste Smartphone, das man derzeit kaufen kann.
Apple hat am frühen Mittwochabend ein Update für MacOS bereitgestellt, das die Sicherheitslücke schließt. Nutzer sollten es umgehend über den Mac-App-Store installieren.
Wie werden Sicherheitslücken in der Regel gefunden?
Es gibt immer mal wieder Zufallsfunde bei Softwarefehlern, wie es hier wahrscheinlich der Fall war. Das ist aber nicht die Regel. Es gibt eine Reihe von Techniken, die dafür gezielt angewandt werden. So schauen sich Menschen beispielsweise Software-Bibliotheken und den eigentlichen Code genau an, sofern er offen zugänglich ist. Außerdem überprüfen Sicherheitsforscher Computerprogramme, indem automatisiert viele verschiedene Zufallseingaben gemacht werden, die ein unübliches Verhalten sichtbar machen sollen.
ist Redakteur beim Technikportal Golem.de und schreibt unter anderem über IT-Sicherheit.
Ein Softwareentwickler hat den Fehler entdeckt und auf Twitter öffentlich gemacht, wofür er kritisiert wird. Er selbst gibt an, Apple sei im Vorfeld informiert worden. Gibt es Regeln für das Melden von Sicherheitslücken?
Es ist eigentlich der Normfall, dass so etwas vorab an den Hersteller gemeldet wird. Das wird Responsible Disclosure [auf deutsch etwa verantwortungsvolle Enthüllung, Anm. d. Red.] genannt. Es ist aber immer eine Abwägung, bei der Fragen nach den möglichen Auswirkungen und der Durchführbarkeit eines Angriffs gestellt werden. Es gibt Hersteller, die generell kaum auf solche vertraulichen Berichte antworten. Apple hat zwar ein sogenanntes Bug-Bounty-Programm, was Hinweise von Sicherheitsforschern belohnt. Es gilt aber nur für iOS und nicht für MacOS. Daran kann man wieder die Priorisierung des mobilen Betriebssystems erkennen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Bankkarten für Geflüchtete
Bezahlkarte – rassistisch oder smart?
Nordkoreas Soldaten in Russland
Kim Jong Un liefert Kanonenfutter
Magdeburg nach dem Anschlag
Atempause und stilles Gedenken
Anschlag in Magdeburg
Der Täter hat sein Ziel erreicht: Angst verbreiten