IT-Experte über Softwarefehler bei Apple: „Nicht der erste Fehler“
Apples Betriebssystem für Desktop-Computer enthielt eine Sicherheitslücke. Ein IT-Experte erklärt, wie solche Fehler gefunden und gemeldet werden.
Das neue Desktop-Betriebssystem von Apple hat ein Sicherheitsproblem. Wer will, kann bei anderen einen Benutzeraccount mit allen Zugangsrechten anlegen – und so zum Beispiel die Daten des Besitzers oder der Besitzerin auslesen. Apple hat am frühen Mittwochabend bereits ein Sicherheitsupdate bereitgestellt.
taz: Herr Gierow, worin besteht die aktuelle Sicherheitslücke und wen betrifft sie?
Hauke Gierow: Die Sicherheitslücke betrifft potenziell alle Nutzer des Apple-Betriebssystems MacOS High Sierra, die das am Mittwochabend veröffentlichte Update noch nicht installiert haben. Bei ihnen ist ein Zugriff auf einen privilegierten Account, auch root genannt, möglich, ohne dass ein Passwort eingegeben werden muss. Mit so einem Account können zum Beispiel alle Dateien auf dem Computer angeschaut und bearbeitet werden. Diesen Zugang kann man allerdings nur einrichten, wenn der Computer bereits entsperrt und ein Administrator-Account eingeloggt ist.
Warum fallen solche gravierenden Sicherheitslücken nicht intern bei Apple auf, bevor das Betriebssystem auf den Markt geht?
Es ist tatsächlich nicht der erste Fehler in Apples aktuellem Desktop-Betriebssystem. Kürzlich wurde das Passwort einer verschlüsselten Festplatte angezeigt, wenn man den Erinnerungshinweis aufrief. Da hat die Abteilung zur Qualitätssicherung bei Apple offensichtlich geschlafen. Apple konzentriert sich seit Jahren sehr stark auf sein mobiles Betriebssystem iOS, das auf iPhones zum Einsatz kommt. Kritiker werfen dem Konzern vor, die Entwicklung des Desktop-Betriebssystems deshalb langsamer voranzutreiben. Apple verdient am meisten Geld mit dem iPhone, weshalb das aus betriebswirtschaftlicher Sicht logisch ist. Ein iPhone ist tatsächlich auch das sicherste Smartphone, das man derzeit kaufen kann.
Wie werden Sicherheitslücken in der Regel gefunden?
Es gibt immer mal wieder Zufallsfunde bei Softwarefehlern, wie es hier wahrscheinlich der Fall war. Das ist aber nicht die Regel. Es gibt eine Reihe von Techniken, die dafür gezielt angewandt werden. So schauen sich Menschen beispielsweise Software-Bibliotheken und den eigentlichen Code genau an, sofern er offen zugänglich ist. Außerdem überprüfen Sicherheitsforscher Computerprogramme, indem automatisiert viele verschiedene Zufallseingaben gemacht werden, die ein unübliches Verhalten sichtbar machen sollen.
ist Redakteur beim Technikportal Golem.de und schreibt unter anderem über IT-Sicherheit.
Ein Softwareentwickler hat den Fehler entdeckt und auf Twitter öffentlich gemacht, wofür er kritisiert wird. Er selbst gibt an, Apple sei im Vorfeld informiert worden. Gibt es Regeln für das Melden von Sicherheitslücken?
Es ist eigentlich der Normfall, dass so etwas vorab an den Hersteller gemeldet wird. Das wird Responsible Disclosure [auf deutsch etwa verantwortungsvolle Enthüllung, Anm. d. Red.] genannt. Es ist aber immer eine Abwägung, bei der Fragen nach den möglichen Auswirkungen und der Durchführbarkeit eines Angriffs gestellt werden. Es gibt Hersteller, die generell kaum auf solche vertraulichen Berichte antworten. Apple hat zwar ein sogenanntes Bug-Bounty-Programm, was Hinweise von Sicherheitsforschern belohnt. Es gilt aber nur für iOS und nicht für MacOS. Daran kann man wieder die Priorisierung des mobilen Betriebssystems erkennen.
Leser*innenkommentare
Arne Babenhauserheide
Zeitablauf: Apple wird informiert. Zwei Wochen gibt es kein Update, das den Fehler behebt. dann schreibt jemand auf twitter. Noch am gleichen Tag kommt endlich ein Update.
Der Programmierer wollte keine Bug Bounty, sondern einfach Leut vor dem problem warnen.
Allgemein zur Kritik (aus twitter kopiert): Can you imagine the chilling effects that stance would have for disclosing any flaws at all? If not disclosing in the correct way can result in a lawsuit, this would essentially a gag-order for all who are no security professionals. It would also create incentives to make disclosure harder in an attempt to keep out the competition.