Nicht selten werden gefährliche Sicherheitslücken in Apples Betriebssystemen entdeckt. Erst vor Kurzem musste Apple seinen Dienst Group Facetime deaktivieren, da es möglich war Kontakte abzuhören.
Vor etwa einem Monat fand der Sicherheitsforscher Linus Henze eine Lücke in Apples Schlüsselbund unter macOS 10.14.3 und machte dies auf Youtube publik. Hier führte er den Ablauf des Bugs vor – weitere Details wollte er jedoch aus einem bestimmten Grund nicht nennen. Henze führt in dem Video vor, wie ein Tool die gesamte Passwortsammlung einfach auslesen könnte. Die Voraussetzung: Das Tool muss auf dem jeweiligen Mac laufen. Das Programm kann in einer App versteckt werden und benötigt nicht einmal Zugriffsrechte auf den Schlüsselbund selbst – es schlägt zu, wenn der Anwender den Mac-Schlüsselbund selbst entsperrt. Genaue Details nannte er damals nicht – auch wollte Henze den Fehler nicht explizit gegenüber Apple offenlegen. Diese Haltung begründete er damit, dass Apple kein Bug-Bounty-Programm für macOS führt – was alle anderen Hersteller machen.
Henze zeigt Einsicht
Nun scheint der Sicherheitsforscher seine Meinung diesbezüglich geändert zu haben. Er hat eigenen Angaben nach sämtliche Details an Apple durchgegeben und sogar einen Patch zur Fehlerbehebung vorbereitet. Trotz der Einsicht kritisiert er weiterhin das fehlende Bug-Bounty-Programm für macOS. Apple selbst hat lediglich für iOS ein solches System, was jedoch nicht besonders erfolgreich funktioniert. Ein Update zur Beseitigung der Lücke sollte somit zeitnah folgen.
