Skip to content

Fraglich: Sicherheitsspezialist entdeckt Fehler in macOS-Schlüsselbund, behält ihn aber aus Bockigkeit für sich

Geschrieben von Florian Schimanke am

Der deutsche Computer-Sicherheitsspezialist Linuz Henze hat in einem YouTube-Video einen offenbar erfolgreichen Angriff auf den Schlüsselbund unter macOS Mojave demonstriert. Zum Verständnis: Der macOS-Schlüsselbund dient zum sicheren Speichern von Zugangsdaten, Zertifikaten und anderen sicherheitsrelevanten Inhalten. Die von Henze erstellte KeySteal-App benötigt keine Administrator-Rechte und kann dennoch auf sämtliche Inhalte des Schlüsselbundes zugreifen.



YouTube Direktlink

Während das offenbar vorhandene Problem grundsätzlich Apples Aufmerksamkeit erfordert, halte ich Henzes Vorgehen für einigermaßen zweifelhast. So weigert sich der Spezialist, Apple über das Problem und die Art und Weise wie es ausgenutzt werden kann in Kenntnis zu setzen. Dies geschieht aus Protest dagegen, dass Apple zwar ein sogenanntes "Bug Bounty Program" für iOS anbietet, unter dem entdeckte Sicherheitslücken finanziell vergütet werden, für macOS gibt es ein solches Programm jedoch nicht. Dennoch wirft es meiner Meinung nach ein schlechtes Licht auf Henze, die Sicherheitslücke aus diesem Grunde für sich zu behalten. Ethisches Verhalten unter Computer-Sicherheitsspezialisten und in der Szene sieht anders aus.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Neo am :

Ich find\u2018s richtig so. Apple sollte umdenken.

Anonym am :

Wenn die bei Apple keine f\344higen Mitarbeiter haben um selbst diesen Bug zu finden, dann sollen sie andere daf\374r entlohnen. An der Zahlungsf\344higkeit von Apple kann\u2019s nicht liegen. Eher daran, das die immer Habgieriger und Geiziger werden. Andere m\374ssen auch f\374r ihren Unterhalt sorgen. Ich w\374rde es genauso machen.

Judge49 am :

Und wieso weigert sich Apple ein \344hnliches/gleiches Programm f\374r den Mac aufzulegen?

Micha am :

Aber ein richtiger \u201eBeweis\u201c ist diese Demonstration nicht. Es kann ja durchaus sein, dass die von diese App angezeigten Passw\366rter irgendwo anders ausliest... Dass sie wirklich auf den Keychain zugreift, ist erstmal nicht ersichtlich.

appleuser am :

Haha kein Wunder, wenn so ein l\344cherliches 14-J\344hriges Kind eine derartig hohe Belohnung f\374r die Entdeckung des FaceTime Bucks erh\344lt. Apple setzt f\374r so eine Belohnung normalerweise voraus, dass man ein offiziell angemeldeter und best\344tigter Sicherheitsl\374ckenforscher ist. Daher verstehe ich, dass ein Forscher, der damit sein Geld verdient, nun so reagiert...

Sugarcane am :

Nunja - ein Unternehmen wie Apple sollte sowohl in der Lage sein, als auch Willens, berechtigte Meldungen von kritischen L\374cken im \374blichen Rahmen zu entlohnen.
Ethisch sein ist schon gut, aber das gilt auch f\374r Apple. Und dazu geh\366rt auch nicht kostenlosen Service von Sicherheitsforschern oder anderen Nutzern zu erwarten.

Anonym am :

Der Spezialist ist im Recht. Warum sollte er kostenlos f\374r das einst wertvollste Unternehmen der arbeiten.

Gzt am :

Ganz so wie pierre de fermat

CaptainOfMoonshot am :

\ud83e\udd73

Papa am :

Ohh, mein Gott..., Apple
Fehler machen und rumknausern \ud83d\udc4e\ud83c\udffb

Mike am :

Schnellstens f\374r macOS einrichten und den Finderlohn f\374r Sicherheitsl\374cken von Tim Cook seinem Gehalt abziehen.

Florian am :

Ethisch mag es nicht sein, aber ethisch w\344hre es auch den Finderlohn zu zahlen und MacOS sicherer zu machen. Ob sich Apple nun weigert einen zu zahlen weis jedoch keiner. Oder?

Anonym am :

Du schreibst w\344re mit \u201eh\u201c? Echt jetzt? \ud83d\ude44\ud83e\udd26\ud83c\udffc\u200d\u2642\ufe0f

WGS am :

H\344ttest in der Grundschule mal besser aufpassen sollen.

Thomas am :

Ich habe mal einen interessanten Artikel \374ber Legasthenie gelesen. Mach das bitte auch, damit du dich nicht so ekelig abf\344llig an falscher Rechtschreibung aufgeilst, wenn der Kommentar inhaltlich sachlich ist und (wahrscheinlich) nur nicht deiner Meinung entspricht.

oli- am :

Da ich nicht bockig bin, weise ich gratis darauf hin,
dass \u201cfraglich\u201c und \u201cfragw\374rdig\u201c zwei unterschiedliche Bedeutungen haben.
;-)

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen