URI: 

       # taz.de -- IT-Experte über Softwarefehler bei Apple: „Nicht der erste Fehler“
       
       > Apples Betriebssystem für Desktop-Computer enthielt eine
       > Sicherheitslücke. Ein IT-Experte erklärt, wie solche Fehler gefunden und
       > gemeldet werden.
       
   IMG Bild: Sollten Mac-Nutzer umgehend durchführen: Installation des neuen Updates für Apple-Computer
       
       Das neue Desktop-Betriebssystem von [1][Apple] hat ein Sicherheitsproblem.
       Wer will, kann bei anderen einen Benutzeraccount mit allen Zugangsrechten
       anlegen – und so zum Beispiel die Daten des Besitzers oder der Besitzerin
       auslesen. Apple hat am frühen Mittwochabend bereits [2][ein
       Sicherheitsupdate bereitgestellt].
       
       taz: Herr Gierow, worin besteht die aktuelle Sicherheitslücke und wen
       betrifft sie? 
       
       Hauke Gierow: Die Sicherheitslücke betrifft potenziell alle Nutzer des
       Apple-Betriebssystems MacOS High Sierra, die das am Mittwochabend
       veröffentlichte Update noch nicht installiert haben. Bei ihnen ist ein
       Zugriff auf einen privilegierten Account, auch root genannt, möglich, ohne
       dass ein Passwort eingegeben werden muss. Mit so einem Account können zum
       Beispiel alle Dateien auf dem Computer angeschaut und bearbeitet werden.
       Diesen Zugang kann man allerdings nur einrichten, wenn der Computer bereits
       entsperrt und ein Administrator-Account eingeloggt ist.
       
       Warum fallen solche gravierenden Sicherheitslücken nicht intern bei Apple
       auf, bevor das Betriebssystem auf den Markt geht? 
       
       Es ist tatsächlich nicht der erste Fehler in Apples aktuellem
       Desktop-Betriebssystem. Kürzlich wurde das Passwort einer verschlüsselten
       Festplatte angezeigt, wenn man den Erinnerungshinweis aufrief. Da hat die
       Abteilung zur Qualitätssicherung bei Apple offensichtlich geschlafen. Apple
       konzentriert sich seit Jahren sehr stark auf sein mobiles Betriebssystem
       iOS, das auf iPhones zum Einsatz kommt. Kritiker werfen dem Konzern vor,
       die Entwicklung des Desktop-Betriebssystems deshalb langsamer
       voranzutreiben. Apple verdient am meisten Geld mit dem iPhone, weshalb das
       aus betriebswirtschaftlicher Sicht logisch ist. Ein iPhone ist tatsächlich
       auch das sicherste Smartphone, das man derzeit kaufen kann.
       
       Wie werden Sicherheitslücken in der Regel gefunden? 
       
       Es gibt immer mal wieder Zufallsfunde bei Softwarefehlern, wie es hier
       wahrscheinlich der Fall war. Das ist aber nicht die Regel. Es gibt eine
       Reihe von Techniken, die dafür gezielt angewandt werden. So schauen sich
       Menschen beispielsweise Software-Bibliotheken und den eigentlichen Code
       genau an, sofern er offen zugänglich ist. Außerdem überprüfen
       Sicherheitsforscher Computerprogramme, indem automatisiert viele
       verschiedene Zufallseingaben gemacht werden, die ein unübliches Verhalten
       sichtbar machen sollen.
       
       Ein Softwareentwickler hat den Fehler entdeckt und auf Twitter öffentlich
       gemacht, [3][wofür er kritisiert wird]. Er selbst [4][gibt an], Apple sei
       im Vorfeld informiert worden. Gibt es Regeln für das Melden von
       Sicherheitslücken? 
       
       Es ist eigentlich der Normfall, dass so etwas vorab an den Hersteller
       gemeldet wird. Das wird Responsible Disclosure [auf deutsch etwa
       verantwortungsvolle Enthüllung, Anm. d. Red.] genannt. Es ist aber immer
       eine Abwägung, bei der Fragen nach den möglichen Auswirkungen und der
       Durchführbarkeit eines Angriffs gestellt werden. Es gibt Hersteller, die
       generell kaum auf solche vertraulichen Berichte antworten. Apple hat zwar
       ein sogenanntes Bug-Bounty-Programm, was Hinweise von Sicherheitsforschern
       belohnt. Es gilt aber nur für iOS und nicht für MacOS. Daran kann man
       wieder die Priorisierung des mobilen Betriebssystems erkennen.
       
       29 Nov 2017
       
       ## LINKS
       
   DIR [1] /Apple/!t5010834/
   DIR [2] https://support.apple.com/de-de/HT208315
   DIR [3] https://twitter.com/aaomidi/status/935610090895364102
   DIR [4] https://medium.com/@lemiorhan/the-story-behind-anyone-can-login-as-root-tweet-33731b5ded71
       
       ## AUTOREN
       
   DIR Jonas Schönfelder
       
       ## TAGS
       
   DIR Apple
   DIR IT-Sicherheit
   DIR Hacker
   DIR IT-Sicherheit
   DIR Apple
   DIR Amazon
   DIR Apple
   DIR Hacker
       
       ## ARTIKEL ZUM THEMA
       
   DIR Sicherheitslücke bei Prozessoren: Milliarden Geräte gefährdet
       
       Forscher haben eine Schwachstelle bei Computerchips festgestellt. Betroffen
       können fast alle Systeme sein. Teilweise müssen Prozessoren ausgetauscht
       werden.
       
   DIR Kritik an Apple: Alte I-Phones absichtlich verlangsamt
       
       Apple räumt ein, ältere Modelle absichtlich zu drosseln. Nach heftiger
       Kritik entschuldigt sich der Konzern – und kündigt Rabatte für neue Akkus
       an.
       
   DIR Steuerdeals von Apple und Amazon: EU-Kommission erhöht Druck
       
       Die EU-Kommission stuft einen Steuerdeal zwischen Amazon und Luxemburg als
       illegal ein. Auch im Fall von Apple in Irland greift die EU ein.
       
   DIR Neues iPhone X von Apple: Teurer als ein Rechner
       
       Der US-Konzern schleudert ein neues Modell seines Erfolgsprodukts auf den
       Markt. Das hochgerüstete Gerät kostet über 1.100 Euro bei
       Minimalausstattung.
       
   DIR Telekom und Cyberkriminalität: Wer haftet für Hacker?
       
       Die Telekom fordert eine gesetzliche Update-Pflicht für Soft- und
       Hardwarefirmen. 900.000 ihrer Kunden waren Opfer einer Cyberattacke.