Feb 6: Fraglich: Sicherheitsspezialist entdeckt Fehler in macOS-Schlüsselbund, behält ihn aber aus Bockigkeit für sich

Der deutsche Computer-Sicherheitsspezialist Linuz Henze hat in einem YouTube-Video einen offenbar erfolgreichen Angriff auf den Schlüsselbund unter macOS Mojave demonstriert. Zum Verständnis: Der macOS-Schlüsselbund dient zum sicheren Speichern von Zugangsdaten, Zertifikaten und anderen sicherheitsrelevanten Inhalten. Die von Henze erstellte KeySteal-App benötigt keine Administrator-Rechte und kann dennoch auf sämtliche Inhalte des Schlüsselbundes zugreifen.



YouTube Direktlink

Während das offenbar vorhandene Problem grundsätzlich Apples Aufmerksamkeit erfordert, halte ich Henzes Vorgehen für einigermaßen zweifelhast. So weigert sich der Spezialist, Apple über das Problem und die Art und Weise wie es ausgenutzt werden kann in Kenntnis zu setzen. Dies geschieht aus Protest dagegen, dass Apple zwar ein sogenanntes "Bug Bounty Program" für iOS anbietet, unter dem entdeckte Sicherheitslücken finanziell vergütet werden, für macOS gibt es ein solches Programm jedoch nicht. Dennoch wirft es meiner Meinung nach ein schlechtes Licht auf Henze, die Sicherheitslücke aus diesem Grunde für sich zu behalten. Ethisches Verhalten unter Computer-Sicherheitsspezialisten und in der Szene sieht anders aus.

Geschrieben von Florian Schimanke am Mittwoch, 6. Februar 2019 um 17:49 in Mac
Kommentare: (16) Trackbacks: (0)
Tags für diesen Artikel: , ,
Artikel mit ähnlichen Themen:

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

#1 - Neo 06.02.2019 17:54 - (Antwort)

Ich find 😊 richtig so. Apple sollte umdenken.

#1.1 - Anonym 06.02.2019 22:44 - (Antwort)

Wenn die bei Apple keine fähigen Mitarbeiter haben um selbst diesen Bug zu finden, dann sollen sie andere dafür entlohnen. An der Zahlungsfähigkeit von Apple kann 😊 nicht liegen. Eher daran, das die immer Habgieriger und Geiziger werden. Andere müssen auch für ihren Unterhalt sorgen. Ich würde es genauso machen.

#2 - Judge49 06.02.2019 17:56 - (Antwort)

Und wieso weigert sich Apple ein ähnliches/gleiches Programm für den Mac aufzulegen?

#3 - Micha 06.02.2019 18:01 - (Antwort)

Aber ein richtiger  😊 😊 ist diese Demonstration nicht. Es kann ja durchaus sein, dass die von diese App angezeigten Passwörter irgendwo anders ausliest... Dass sie wirklich auf den Keychain zugreift, ist erstmal nicht ersichtlich.

#4 - appleuser 06.02.2019 18:01 - (Antwort)

Haha kein Wunder, wenn so ein lächerliches 14-Jähriges Kind eine derartig hohe Belohnung für die Entdeckung des FaceTime Bucks erhält. Apple setzt für so eine Belohnung normalerweise voraus, dass man ein offiziell angemeldeter und bestätigter Sicherheitslückenforscher ist. Daher verstehe ich, dass ein Forscher, der damit sein Geld verdient, nun so reagiert...

#5 - Sugarcane 06.02.2019 18:55 - (Antwort)

Nunja - ein Unternehmen wie Apple sollte sowohl in der Lage sein, als auch Willens, berechtigte Meldungen von kritischen Lücken im üblichen Rahmen zu entlohnen.
Ethisch sein ist schon gut, aber das gilt auch für Apple. Und dazu gehört auch nicht kostenlosen Service von Sicherheitsforschern oder anderen Nutzern zu erwarten.

#6 - Anonym 06.02.2019 19:27 - (Antwort)

Der Spezialist ist im Recht. Warum sollte er kostenlos für das einst wertvollste Unternehmen der arbeiten.

#7 - Gzt 06.02.2019 19:42 - (Antwort)

Ganz so wie pierre de fermat

#7.1 - CaptainOfMoonshot 06.02.2019 22:25 - (Antwort)

 😊 😊

#7.1.1 - Papa 07.02.2019 00:18 - (Antwort)

Ohh, mein Gott..., Apple
Fehler machen und rumknausern  😊 😊 😊 😊

#8 - Mike 07.02.2019 01:23 - (Antwort)

Schnellstens für macOS einrichten und den Finderlohn für Sicherheitslücken von Tim Cook seinem Gehalt abziehen.

#9 - Florian 07.02.2019 02:01 - (Antwort)

Ethisch mag es nicht sein, aber ethisch währe es auch den Finderlohn zu zahlen und MacOS sicherer zu machen. Ob sich Apple nun weigert einen zu zahlen weis jedoch keiner. Oder?

#9.1 - Anonym 07.02.2019 05:40 - (Antwort)

Du schreibst wäre mit  😊 😊? Echt jetzt?  😊 😊 😊 😊 😊 😊 😊 😊 😊

#9.1.1 - WGS 07.02.2019 12:46 - (Antwort)

Hättest in der Grundschule mal besser aufpassen sollen.

#9.1.2 - Thomas 07.02.2019 14:37 - (Antwort)

Ich habe mal einen interessanten Artikel über Legasthenie gelesen. Mach das bitte auch, damit du dich nicht so ekelig abfällig an falscher Rechtschreibung aufgeilst, wenn der Kommentar inhaltlich sachlich ist und (wahrscheinlich) nur nicht deiner Meinung entspricht.

#10 - oli- 07.02.2019 08:30 - (Antwort)

Da ich nicht bockig bin, weise ich gratis darauf hin,
dass  😊 😊 und  😊ürdig 😊 zwei unterschiedliche Bedeutungen haben.
;-)


Kommentar schreiben

Hinweis:
Bei der Abgabe eines Kommentars auf meinem Blog werden die in das Formular eingetragenen Daten und unter Umständen auch personenbezogene Daten, wie z.B. die IP-Adresse an meinen Webhosting-Provider (1&1), sowie an den Spamblock-Dienstleister Akismet übertragen und dort gespeichert. Als Pflichtfelder werden ausschließlich der Name (auch Pseudonyme möglich) und der Kommentar benötigt. Die optional angegebene E-Mail-Adresse wird nicht öffentlich dargestellt, sondern dient nur für eventuelle Benachrichtigungen bei Folgekommentaren. Alle Daten werden HTTPS-verschlüsselt übertragen. Mit der Nutzung dieses Formulars wird der Datenübertragung zugestimmt. Weitere Einzelheiten und Informationen dazu gibt es in meiner Datenschutzerklärung.

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.