Home » Mac » Apple zahlt nicht: Frustrierter Sicherheitsforscher will macOS-Schwachstelle veröffentlichen, statt sie zu melden
Schlüssel - Symbolbild

18. Januar 2018

Roman van Genabith

Apple zahlt nicht: Frustrierter Sicherheitsforscher will macOS-Schwachstelle veröffentlichen, statt sie zu melden

Wenn sie in Cupertino keine vernünftigen Preise zahlen, werde ich meine gefährlichen Angriffe gegen macOS und iOS eben einfach so veröffentlichen, zu diesem beunruhigenden Schluss führten die Überlegungen des Sicherheitsforschers Patrick Wardle. Er habe einige Lücken in macOS aufgespürt, Apple weigere sich aber, ihm einen angemessenen Betrag dafür zu zahlen.

In macOS ist ein Fehler, der das System zum Absturz bringen kann und einem Angreifer wer weiß welche weiteren Möglichkeiten eröffnet, so der Sicherheitsforscher und frühere NSA-Mitarbeiter Patrick Wardle. Doch an Apple werde er sich nicht wenden, denn das Unternehmen lasse es am nötigen Entgegenkommen in Richtung der Sicherheitsgemeinde fehlen.

Es hatte zwar 2016 ein sogenanntes Bug-Bounty-Programm eingerichtet, damit ist die Auszahlung von Belohnungen für das Aufspüren funktionierender Angriffe gemeint, dieses sei aber auf iOS beschränkt und ohnehin unbefriedigend. Maximal werden 200.000 Dollar ausgezahlt und auch nur unter ganz bestimmten Bedingungen. Auf dem schwarzen oder grauen Markt lässt sich wohl deutlich mehr herausholen. Zudem steht dieses Programm nicht allen findigen Sicherheitsforschern offen. Man muss von Apple eingeladen werden, um später Anspruch auf die Belohnung zu erhalten.

macOS-Lücke soll veröffentlicht werden

Eine solche Einladung konnte der Experte, der Apple zuletzt auf die gravierende Lücke in HomeKit hingewiesen hatte, die unter iOS die Fernkontrolle von Geräten im eigenen Haushalt ermöglichte, nicht vorweisen. In der Folge ging er leer aus, als er seine Entdeckung an Apple meldete.

Zudem ist das Unternehmen intransparent, bemängelt ein sichtlich frustrierter Wardle. Manchmal beheben sie von ihm bereits vor langer Zeit gemeldete Lücken einfach unbemerkt und informieren die Öffentlchkeit erst Monate oder Jahre später, kritisiert er.

macOS High Sierra
macOS High Sierra

All das ärger den Fachmann offenbar so sehr, dass er nun eine Schwachstelle in den Grafiktreibern des Mac der interessierten Öffentlichkeit zur Verfügung stellen möchte, ohne den Fehler zuvor an Apple zu melden. Die Lücke kann ausgenutzt werden, um das System zum Absturz zu bringen und sei auch in macOS 10.13.2 noch vorhanden.

Mit ihrer Veröffentlichung möchte er Apple motivieren, auch für Fehler in macOS einen ordentlichen Schluck aus der Pulle nehmen zu lassen.

Weitere Artikel

Apple schult FBI-Beamte bei der Auswertung von iPhones und Mac

Apple entfesselt Milliardenhagel: 20.000 neue Jobs in den USA, ein neuer Campus und ein dicker Bonus für die Mitarbeiter

10 Gedanken zu „Apple zahlt nicht: Frustrierter Sicherheitsforscher will macOS-Schwachstelle veröffentlichen, statt sie zu melden“

    • Niemand hat ihn beauftragt, diese Sicherheitslücke ausfindig zu machen. Dennoch ist es sinnvoll einen „Finderlohn“ zu zahlen. Zu erwarten, dass es in Richtung des Preises auf dem Schwarzmarkt geht, ist aber Dummheit.
  6. Tja, Apple ist auch kein Wohlfahrtsverein, also sollen was abdrücken von der Kohle. Kassieren können sie, aber von teilen halten sich nichts. Wir leben in einem Zeitalter der globalen Vernetzung, wenn zusammenarbeiten und teilen, haben alle was davon. Aber wenn die einen auf kosten der anderen abkassieren, müssen eben mit Repressionen rechnen. Der hat ja schon öfter und seit Jahren über Lücken informiert. Apple profitiert mit einer relativ sicheren Software und dem guten Namen. Es ist kein Wunder, dass heutzutage so viele kriminell werden, wenn sie ständig nur benützt werden und andere profitieren. Aber selbst Abermillionen und Abermilliarden sind den Geldsäcken zu wenig.

Die Kommentare sind geschlossen.