Apple zeigt mit dem Root-Bug: Niemand sollte macOS blind vertrauen
Gestern war die Root-Lücke in aller Munde, auch wir berichteten über den neu entdeckte Bug in macOS High Sierra. Aufgedeckt und mit der Welt geteilt wurde die Lücke über Twitter vom türkischen Entwickler Lemi Orhan Ergin. Ihm war es möglich, das Root-Passwort durch einen einfachen Trick zu umgehen und so Zugriff auf alle Benutzerkonten des Macs zu erhalten. Auch wir konnten den Fehler nachstellen.
Apple reagierte schnell und verteilte noch gestern ein Sicherheitsupdate, welches auf jedem Mac mit High Sierra automatisch installiert wird. Zusätzlich wurde noch ein Statement veröffentlicht, in dem sich Apple für den Vorfall entschuldigt. Man bedauere den Fehler sehr und bitte alle Mac-Nutzer um Entschuldigung. Die Kunden hätten besseres verdient und die Entwicklungsprozesse sollen nun angepasst werden, damit sich ein solcher Fehler nicht wiederholt. Also Ende gut, alles gut?
Sicherheitsupdate sorgt auch für Ärger
Leider nicht wirklich. So sorgte auch das Sicherheitsupdate für neue Probleme. Zwar stopft es die Root-Lücke, doch klagen viele Nutzer über eine nicht mehr funktionierende Dateifreigabe. Auch hierfür stellt Apple schnell ein Lösung parat, allerdings muss ein Umweg über das Terminal in Kauf genommen werden, für weniger fortgeschrittene Nutzer durchaus eine Herausforderung.
Und auch sonst stößt der Root-Bug bei vielen Nutzern auf berechtigte Kritik. Apple selbst verspricht immer wieder, dass die Sicherheit von iOS und macOS oberste Priorität habe und doch verlieren viele das Vertrauen daran. Sind die Produkte von Apple nicht mehr sicherer als die Konkurrenz?
Wer sich etwas mit IT-Sicherheit auseinandersetzt, dem wird klar: Absolute Sicherheit und eine wirklich sicheres System gibt es nicht und kann es nicht geben. Der Faktor Mensch ist sowohl bei der Entwicklung von Software, als auch bei der Nutzung dieser eine Schwachstellen. Menschen machen Fehler, sind unachtsam oder haben keine Interesse, bzw. Bewusstsein für IT-Sicherheit. Woher kommt aber der Ruf von macOS und iOS, besonders sichere Betriebssysteme zu sein? Dafür gibt es mehrere Faktoren. So hat Apple den großen Vorteil sowohl die Software, als auch die Hardware zu entwickeln. Das macht die Systeme weniger anfällig. Auch die geringere Verbreitung, z.B. im Vergleich mit Windows-Systemen, führt zu weniger Interesse bei Hackern. Es ist schlicht wirtschaftlicher Sicherheitslücken in Windows zu suchen, als in macOS. Auch der relativ geschlossene Aufbau von macOS und besonders von iOS erhöht die Sicherheit der Systeme.
Die Reaktionszeit von Apple beim aktuellen Fehler war vorbildlich, dass die Fehler unter macOS in letzter Zeit vermehrt auftraten wiederum nicht. macOS wird dadurch nicht sofort zum generell unsicheren System, aber es zeigt uns Nutzern wieder einmal: Absolutes Vertrauen sollte wir auch zu Software von Apple nicht haben.
Diskutiere mit!
Hier kannst du den Artikel "Apple zeigt mit dem Root-Bug: Niemand sollte macOS blind vertrauen" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
Sehr richtig. Die Komplexität der Software bei Betriebssystemen nimmt immer mehr zu, der Jahresrhythmus tut sein übriges. Apple hat auch nie behauptet, absolut sicher zu sein. In meinen Augen ist es immer nur eine Frage der Zeit. 5 GB sind eine Menge 0 und 1.
Sich darüber aufzuregen, die Sache an die große Glocke zu hängen und aus Mücken Elefanten zu machen ist schon mehr als obskur. Es ist letztlich nur einfache Mathematik der Wahrscheinlichkeitsrechnung.
Andererseits habe ich nicht einen Artikel gefunden, der genau und vor allem verständlich für den Normaluser beschreibt, wie gefährlich denn nun dieser Fehler war. Muss ein Hacker anwesend sein, um die Gewalt auf meinen Mac zu bekommen - oder geht es auch online. ANGST IST IMMER MEDIENWIRKSAM! Keine klare Aussage, sodass man leicht geneigt ist und sich sagt: Die Medien haben mal wieder ein Thema gefunden. Klar mach ich das Update. Aber war ich wirklich potenziell stark gefährdet???
Komische Sache dies alles - oder vielleicht doch systemtypisch.
...und schon wieder Entschuldigungen für schlechtere Arbeit. Wann merkt ihr eigentlich, dass Jemand wie Steve Jobs fehlt?!
denn es konnten nur Nutzer ausführen die eh schon Zugriff auf den Rechner haben.
Und wer den Root mit einem Passwort geschützt hatte, was normal ein vernünftiger Systemverwalter auch macht, der hatte auch kein Problem.
Da machen manche mal wieder Elefanten aus Midges.
Apple musste auf jeden Fall schnell reagieren und das haben sie auch. Lob.
Lesson learned Anpassungen gehören nun logischerweise zum Standard.
Also Leute,
ich bin Apple durchaus verbunden (seit über 20 Jahren). Aber das ist keine Mücke zum Elefanten. Einen ungeschützten passwortfreien Root-User auf einem System aktiv zu lassen ist ein absolut gravierender Fehler. Dass das keine schlimmeren Folgen hat, ist nur zwei Dingen zu verdanken:
1) macOS hat im Vergleich zu Windows immer noch einen kleinen Marktanteil, der es für viele Angreifer zu einem Ziel zweiter Klasse macht.
2) Der Exploit wurde noch nicht aus dem Internet ausgenutzt. Wobei ich mir absolut nicht sicher bin, dass das nicht der Fall sein könnte (einen schädlichen Dateianhang dann gleich als root-User auszuführen, der kein Passwort braucht). Das ist wohl nur der Kürze der Zeit zu verdanken, dass das nicht passiert ist.
Jetzt erinnere ich mich noch, dass am Anfang von High Sierra das Problem mit dem Schlüsselbund existierte, so dass andere Anwendungen freien Zugriff aus Inhalte des Schlüsselbundes hatten - und es zeigt mir deutlich, dass Apple (auch aufgrund des kleineren Markanteils) mehr Glück als Verstand hatte bisher. Und nicht, dass macOS ein grundsätzlich sichereres Betriebssystem als Windows wäre.
@ so löchrig...
Schön das wenigstens vereinzelte noch klar denken!
@ so löchrig...
Schön das wenigstens vereinzelte noch klar denken!
"die Bugs und Sicherheitslücken im Betriebssystem für den Mac nehmen in letzter Zeit zu". Ähm, ihr meint in den letzten ca. 7 Jahren etwa? Also seit OS 10.7? Ihr seid aber Schnellmerker! Als damals warnende Stimmen laut wurden, wurden sie belächelt, und jetzt solche Kommentare. Das sind all die Nachäffer und Apple-Speichellecker, die ansonsten ihre Klappe halten und erst dann was sagen, wenn das Kind fast schon ersoffen ist. Nur nebenbei: besser wird's unter MacOS mit der Haltung Apples nicht!