Bei anderen großen Softwareunternehmen gehört es längst zum guten Ton: Wenn jemand eine Sicherheitslücke entdeckt und diese meldet, dann gibt es eine großzügige Belohnung. Apple führte erst 2016 ein ähnliches Programm für iOS ein. Bei gefundenen Fehlern in macOS wird in der Regel jedoch nicht gezahlt. Der Sicherheitsforscher Linus Henze hat daher eine grobe Sicherheitslücke nicht gemeldet, die das Auslesen von Passwörtern erlaubt.

Erst in der letzten Woche berichteten wir über einen Bug in FaceTime. Der Fehler war für jedermann nachvollziehbar und setzte keine Programmierkenntnis voraus, wodurch grundsätzlich jeder in der Lage war, andere Benutzer zu belauschen. Wie Heise nun berichtet, gibt es wohl auch am Mac eine grobe Sicherheitslücke, die jedoch nur von Entwicklern ausgenutzt werden könnte. Der Website zufolge hatte der Sicherheitsforscher Linus Henze entdeckt, dass modifizierte Applikationen dazu in der Lage seien, Passwörter und sonstige Zugangsdaten aus dem Schlüsselbund auszulesen – und zwar unverschlüsselt.

Vorbei an Apples Sicherheitsmechanismen

Henze zufolge soll der Zugriff sogar durch unsignierte – von Apple nicht zugelassene – Apps möglich sein, da verschiedene Zugriffssperren einfach umgangen werden. Die Lücke besteht sogar noch in macOS 10.14.3, da der Forscher die genauen Umstände noch nicht an Apple übermittelt hat. Dies hat einen einfachen Grund: Apple bietet kein Bug-Bounty-Programm für macOS an und somit gibt es keinen Finderlohn. Aktuell bietet Apple ein solches Programm nur für iOS an, wobei auch hier die Summen deutlich hinter der Konkurrenz liegen und nur nach „Einladung in das Programm“ ausgezahlt werden.

Zum jetzigen Zeitpunkt hat Henze laut Heise noch nicht vor, dass er die genauen Details der Lücke veröffentlicht. Es ist allerdings anzunehmen, dass er mit seinem Videobeweis zusätzlichen Druck auf Apple ausüben möchte, um das Unternehmen zum Umdenken zu bewegen, damit Forscher und Entwickler Anreize für das Finden von Sicherheitslücken erhalten.

