macOS: „Der Mac wird zur Zweitverwertungsstelle für Apple“

Apple gerät wegen einer peinlich einfachen Sicherheitslücke in die Schlagzeilen und Nutzer weltweit fragen sich: Wie konnte das passieren? WIRED hat mit dem Sicherheitsexperten Karsten Nohl über die Schwachstellen-Strategie der großen Unternehmen gesprochen. Spoiler: Eigentlich müssten Fehler wie der von Apple nicht passieren.

Regelmäßig neue Updates aus dem WIRED-Kosmos!

Apple gerät wegen einer peinlichen Sicherheitslücke in die Kritik. Wie konnte das passieren? WIRED sprach mit Sicherheitsexperte Karsten Nohl über mangelnde Schwachstellen-Strategien großer Firmen.

Das neue macOS hat eine schwere wie simple Sicherheitslücke, die jeden Nutzer ohne Probleme zum Admin eines Systems macht. In diesem Artikel fassen wir die aktuellen Informationen dazu zusammen. Gefunden hat die Lücke ein türkischer Programmierer, der auf Twitter schreibt: „Jeder kann sich ohne Passwort als root einloggen, nachdem er mehrfach auf den Login getippt hat. Seid ihr euch dessen bewusst @Apple?“ Einen Fix gibt es bisher nicht.

WIRED hat mit Sicherheitsexperte Karsten Nohl über Schwachstellen wie die von Apple gesprochen. Er leitet die Security Research Labs in Berlin und forscht zu den Themen GSM-Sicherheit, RFID-Sicherheit und Privatsphäre. Nohl wurde weltweit bekannt, als er zeigte, wie einfach Fremde die eigenen Telefongespräche abhören können. Auch zu Apple hat er eine klare Meinung.

WIRED: Karsten, wie bitte kann es zu so einer dummen Sicherheitslücke kommen? Das ist ja als würde man einen Safe bauen, und vergessen, ein Schloss einzusetzen.
Karsten Nohl: Das ist in der Tat ein Anfängerfehler, den man selten sieht. Ich hätte ihn vor allem von einer Firma wie Apple nicht erwartet. Das ist allerdings nicht das erste Mal, dass so etwas einer großen Firma passiert. Intel hatte einen sehr ähnlichen Fehler vor wenigen Monaten.

WIRED: Kaum vorstellbar.
Nohl: In der Tat, aber auch Intel-Computer, die sich mit einem lokalen Netzwerk verbinden, erfragen ein Passwort. Wenn man dort das Passwort leer gelassen hat und dann auf weiter klickte, war man eingeloggt und hatte die Kontrolle über den gesamten Computer. Scheinbar sind das Programmierfehler, die nicht auditiert werden, weil sich niemand vorstellen kann, solch einen blöden Fehler überhaupt zu machen. Noch einmal: Das hätte Apple wirklich finden müssen, vor allem, weil Intel wenige Monate vorher den gleichen Fehler gemacht hat.

Karsten Nohl ist Sicherheitforscher und Leiter der Security Research Labs

WIRED: Und weil Millionen von Dollar in die Erforschung neuer Betriebssysteme fließen…
Nohl: Typischerweise ist Software komplizierter, als man sich das vorstellt. An solche Corner Cases denkt dann niemand.

WIRED: Du meinst außergewöhnliche Fälle, die bei der Betrachtung von Software im Labor einfach nicht vorkommen.
Nohl: Genau, und der konkrete Fall ist ja genau so ein Corner Case. Wenn der User das erste mal das Passwortfeld leer lässt, wird er ja nicht eingeloggt. Beim zweiten Mal auch nicht. Erst beim dritten Mal reagiert das System auf einmal. Ich gehe davon aus, dass irgendeine obskure Funktion, vielleicht sogar eine Sicherheitsfunktion, dafür verantwortlich ist. Sie führt vermutlich dazu, dass die Passwortüberprüfung komplett übersprungen wird.

WIRED: Wenn die großen Anbieter nicht einmal in der Lage sind, solche Fehler zu finden, wie soll der Nutzer noch Vertrauen aufbauen?
Nohl: Gute Frage, und es ist ja nicht das erste Mal, dass Apple das passiert. Es gab ja auch auf dessen iOS-Geräten in der Vergangenheit Bugs, über die man sich ohne Passwort einloggen konnte. Das ist auf dem iPhone dann irgendwann mal systematisch gelöst worden, indem man einen Hardwareschlüssel eingeführt hat.

WIRED: Kannst du das erklären?
Nohl: Auf dem iPhone brauchst du immer eine PIN oder einen Fingerabdruck, um das Dateisystem zu entschlüsseln. So ist es technisch fast ausgeschlossen, dass man ohne PIN oder den richtigen Fingerabdruck sinnvoll auf das System zugreifen kann. Nur solche Sicherheitsmaßnahmen greifen wirklich und bewirken, dass Fehler nicht zu schlimmen Folgen führen können.

Comments are closed, but trackbacks and pingbacks are open.