Sicherheitslücke bei Apple High Sierra Ist es okay, so etwas einfach zu twittern?

Per Tweet hat ein Software-Entwickler eine gravierende Sicherheitslücke in Apples aktuellem Mac-Betriebssystem öffentlich gemacht. Dafür wurde er teils heftig kritisiert. Nun erklärt er sich.

MacOS High Sierra auf einem MacBook Pro
SPIEGEL ONLINE

MacOS High Sierra auf einem MacBook Pro

Von


Es ist eine verblüffend schwerwiegende Schwachstelle, von der die Welt am Dienstagabend erfahren hat: Apples Betriebssystem MacOS High Sierra erlaubt es Nutzern, sich auf einem Mac Administratorenrechte zu verschaffen, ohne dass dafür ein Passwort eingegeben werden muss.

Wer die Lücke ausnutzen will, braucht keinerlei technische Vorkenntnisse: Wer als Nutzernamen "root" eingibt und es dann mehrmals ohne Passwort versucht, hat Erfolg. Ein unglaublicher Fehler.

Unglaublich ist auch, wie die Sache herauskam. Der türkische Entwickler Lemi Orhan Ergin twitterte am Dienstagabend über den Fehler. Es sei ein riesiges Sicherheitsproblem, schrieb er, ob denn Apple wohl davon wisse? In einem weiteren Tweet zeigte er mithilfe von Screenshots detailliert, wie die Sache funktioniert.

Dafür kritisierten ihn andere Nutzer sofort: Es sei unverantwortlich, eine solche Lücke einfach zu veröffentlichen. Er hätte zuerst Apple Bescheid geben sollen, damit das Unternehmen sie schließen kann. Ein Tweet sei nicht der richtige Weg, schließlich sei der Fehler von nun an weltweit bekannt und bringe Millionen Nutzer in Gefahr.

Nicht der Bote bringe die Nutzer in Gefahr

Andere Kommentatoren halten dagegen. Es bringe doch nicht derjenige, der eine Sicherheitslücke entdeckt, die Nutzer in Gefahr, argumentieren sie. Das sei vielmehr derjenige, der für die Lücke verantwortlich ist - in dem Fall also Apple. Das Aufdecken von Schwachstellen sorge für mehr Sicherheit, weil Nutzer von der Gefahr wüssten und der Druck auf den Hersteller erhöht sei, das Problem rasch zu beheben.

Nun hat sich auch der Software-Entwickler selbst in einer Stellungnahme erklärt. Nicht er selbst hat demnach die Lücke gefunden: Es seien Mitarbeiter der Firma gewesen, für die er arbeite. Sie hätten Apple am 23. November darüber informiert, heißt es, außerdem hätten sie in Onlineforen schon frühere Hinweise auf die Lücke gefunden, zum Beispiel vom 13. November.

Als Orhan auf die Lücke aufmerksam gemacht wurde, fand er den Fehler "unglaublich", schreibt er: "Dann beschloss ich, Apple per Twitter zu informieren." Schließlich sei die Sicherheitslücke bereits öffentlich gewesen - und "das Problem war sehr ernst".

Erst den Hersteller warnen oder lieber nicht?

Hier geht es um eine Grundfrage in der Welt der IT-Sicherheit: Was macht ein Hacker oder Sicherheitsforscher, der eine Schwachstelle findet? Behält er sie für sich, verkauft er sein Wissen oder macht er sie öffentlich?

Wird eine Lücke öffentlich gemacht, gibt es im Prinzip zwei Möglichkeiten. Bei der sogenannten Responsible Disclosure, also der verantwortungsbewussten Offenlegung, kontaktiert ein Hacker zuerst den Hersteller. Er gibt ihm Zeit, den Fehler zu beheben, bevor der Rest der Welt davon erfährt. Üblich sind mehrere Wochen. Die andere Variante nennt sich Full Disclosure, komplette Offenlegung - ohne vorherige Rücksprache mit dem Hersteller.

Beide Varianten haben Vor- und Nachteile. Eine Responsible Disclosure verhindert, dass Nutzer durch eine Sicherheitslücke gefährdet werden, von der sonst vielleicht niemand erfahren hätte. Allerdings klagen Forscher oft darüber, dass Unternehmen nicht antworten oder ihnen gar drohen. Oder dass sie sich viel zu viel Zeit erbitten, um den Fehler zu beheben - und Zeit ist ein wichtiger Faktor, wenn ein Forscher eine Lücke findet. Denn vielleicht findet sie in der Zwischenzeit auch noch ein anderer.

Nicht zuletzt entfalten Hacks eine viel geringere Wucht, wenn es in Medienberichten gleichzeitig heißt, der Hersteller habe die Lücke inzwischen geschlossen.

"Ich bin weder ein Hacker noch ein Sicherheitsspezialist"

Die Full Disclosure kann hingegen genutzt werden, um den Hersteller unter Druck zu setzen. Und sie kann vielleicht tatsächlich auch Nutzer schützen - nämlich dann, wenn längst schon jemand anderes von der Lücke weiß und sie ausnutzt. Sobald sie öffentlich ist, kann jeder Nutzer zumindest versuchen, sich zu schützen. Realistischer ist es aber, dass potenzielle Angreifer erst durch die Veröffentlichung von der Lücke erfahren.

So detailliert scheint Lemi Orhan Ergin allerdings gar nicht über die Sache nachgedacht zu haben, denn er schreibt in seiner Stellungnahme: "Ich bin weder ein Hacker, noch ein Sicherheitsspezialist." Er wolle weder Apple noch seinen Nutzern Schaden zufügen - sondern lediglich warnen. Das, finden seine Kritiker, hätte er allerdings auch ohne öffentlichen Tweet gekonnt - etwa indem er Apples Sicherheitsabteilung informiert hätte.

Pragmatischer sieht das Ganze der amerikanische Tech-Journalist Brian Krebs: Er hatte den Tweet weiterverbreitet und wurde daraufhin gefragt, ob Twitter der beste Weg sei, das zu melden. "Wahrscheinlich nicht", schrieb er daraufhin, "aber nun ist es draußen, also ist die beste Verteidigung, es einfach zu ändern." Mit "es" ist in diesem Fall das "root"-Passwort gemeint. Das ist per Werkeinstellung offenbar leer - Nutzer sollten nun dringend eines setzen. Wie das geht, beschreibt Apple hier.



insgesamt 22 Beiträge
Alle Kommentare öffnen
Seite 1
pahrump 29.11.2017
1. Was ich nicht verstehe
ist, dass der "root" ja nur in den Systemeinstellungen aktiviert werden kann bzw. muss. Vorher taucht der doch gar nicht im Anmeldebildschirm auf. Das bedeutet doch, zumindest muss ein User mit Administratorrechten angemeldet sein, um diesen Hack auszuführen. Was verstehe ich hier falsch?
sturmimwasserglas 29.11.2017
2. Ich begruesse das sehr ...
... denn nur erfahren auch Laien, wie "sicher" die Digitalisierung ist. Wenn selbst Top-Firmen bei den allerelementarsten Dingen versagen, wie soll es erst dann bei e-Wahlen, e-Behoerden, e-Kriminalitaetsbewertung etc. werden?
Furchensumpf 29.11.2017
3. Tja...
...Apple ist aber auch dafür bekannt, gegen Lücken nicht selten....nichts zu tun, so dass den Entdeckern der Lücke nach einem halben oder ganzem Jahr nichts anderes übrig bleibt, an die Öffentlichkeit zu gehen, um Apple mal zu bewegen. Und dann geht es nicht selten ganz schnell...
gs310167 29.11.2017
4. Guest Account
Zitat von pahrumpist, dass der "root" ja nur in den Systemeinstellungen aktiviert werden kann bzw. muss. Vorher taucht der doch gar nicht im Anmeldebildschirm auf. Das bedeutet doch, zumindest muss ein User mit Administratorrechten angemeldet sein, um diesen Hack auszuführen. Was verstehe ich hier falsch?
Kann via guest account eingegeben werden.
lupenrein 29.11.2017
5. Darf man
den Nimbus von Apple einfach so zerstören ? Das ist doch schwere Geschäftsschädigung . Wenn es aber die Nutzer trifft, weil sie nicht informiert wurden, ist das nicht so tragisch. Hauptsache des Geschäft brummt. (Mundus vult desipi)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.