Heute auf diepresse.com gelesen. anscheinend kann man mit genug krimineller Energie die Passwörter des Schlüsselbundes einfach auslesen.



Welche Alternative wird hier im Forum empfohlen, die genauso einfach ist, wie der OSX Schlüsselbund?

Danke!

Hm... ich werde weiterhin beim Schlüsselbund bleiben. ich halte den Bericht für nicht sehr vertrauenswürdig. Dieses "Die Presse" kommt mir da doch etwas zu, ich will mal sagen, "merkwürdig" vor, auch, wenn ich mir die anderen Headlines so ansehe.

Ein solcher Datenskandal ("Belegt" durch ein Einziges YT-Video) würde höhere Wellen schlagen, denke ich.

Passwortmanager gibt es so Einige, ob sie genauso komfortabel sind wie die Keychain von Apple vermag ich nicht zusagen... genauso wenig, ob sie sehr viel sicherer sind...

Na ja, Heise hatte das Thema auch schon aufgegriffen.
Aber wie ich es verstanden habe, muss man dafür immer noch einen Software installieren.
Also, vorausgesetzt, das Es auch so stimmt.
Ich werde auf jeden Fall auch beim Schlüsselbund bleiben.

"Mit genügend krimineller Energie"… damit kann man fast alles knacken.

Mich würde doch mal interessieren, was sierkb zum Thema zu verlinken weiß.

Patrick Wardle hatte eine ähnliche Lücke ja in High Sierra demonstriert (2017 unter dem Namen „KeychainStealer“).

Und in meinem Interview mit Angelo Laub (mittlerweile >14 Jahre her), der einen ‚proof of concept‘ Trojaner für Mac OS X auf dem Congress 2004 vorstellte, wird auch insbesondere vor dem Schlüsselbund gewarnt!

Die nun entdeckte Lücke scheint ähnlich schwerwiegend zu sein, wie der root-bug anfangs bei 10.13 (wer erinnert sich?) – da konnte man selbst als Benutzer ohne administrative Rechte problemlos eine root-Shell bekommen …

Nur der iCloud-Keychain ist wohl nicht betroffen, aber den hat man z.B. nur, wenn man die Schlüsselbund-Synchronisation von iCloud aktiviert.

Aber selbst mit iCloud-Keychain landet ja noch jede Menge im login.keychain, local items keychain und system.keychain …

Und 1Password kann ja auch nur Browser-Logins ersetzen, nicht aber z.B. die IMAP- und SMTP-Kennwörter normaler Mail-Accounts von Apple Mail.

Von daher sind wir grundsätzlich alle betroffenen und können nur hoffen, dass Apple den bug Ernst nimmt und möglichst zeitnah fixt.

Ach der Angelo, mit dem hatte ich damals über das Ding gesprochen und ihm ein paar Code-Schnipsel beigesteuert... was der jetzt wohl so macht...

Hoffentlich einiges, denn seine links gehören hier mit zum Besten, was es neben "Vermutungen" und "Glauben" zu lesen gibt. Nichts gegen vermuten, glauben und fühlen, aber in der Technik sind verlinkte Quellen (Referenzierbarkeit) schon noch der Masstab für den "Gehalt" eines Sachverhaltes. Danach kann man sich sein eigenes Bild machen.

sierkb
Her mit den links!

Apple wird den "bug" hoffentlich zeitnah fixen. Und dann vielleicht auch mal ernsthaft über ein "Bug-Bounty-Programm" für MacOS und seine Bestandteile nachdenken. An den finanziellen Mitteln kann es ja nicht scheitern.

riessi
Alternative gibt es keine zum Schlüsselbund, dieser ist integraler Bestandteil des Unix, MacOS Systems. Marcel Bresnik und andere Unix Spezialisten mögen mich korrigieren, wenn ich hier falsch liege.

DiePRESSE ist eine der grössten Tageszeitungen Österreichs . Sie erscheint seit nach dem Krieg. Ist also schon als "seriös" zu betrachten Klaro muss man im journalistischen Bereich mit "ungewöhnlichen" Headlines um Reichweite kämpfen. Nun ja

Diese "Sicherheitslücke" wird wohl deshalb nicht weiter aufgeblasen, weil jeder mit ein wenig Verständnis für macOS erkennt, dass das Video noch lange keinen Beweis für irgendwas darstellt.

Wie im Video dargestellt muss offenbar zum Auslesen ein Programm installiert werden. Ich benötige also erst einmal einen Zugang zum Admin-User und unter 10.14 ist grundsätzlich vorgesehen, dass zwangsläufig ein Admin-Kennwort vergeben ist (ja, es gibt Umwege das zu umgehen). Eben so zum Installieren des Programms selbst.
Auch mit Brute-Force bekomme ich nicht so einfach Zugang zum Admin-Account bzw. das Admin Kennwort. Sollte jemand eine Möglichkeit haben mittels BF-Angriff in den Administrator zu kommen und somit das Admin-Kennwort auszulesen, dann wäre DAS die eigentlich Sicherheitslücke. Somit hätte ich aber auch die Möglichkeit die Kennwörter mit dem geknackten Admin-PW auszulesen

Das abgebildete Skript kann genauso einfach eine zuvor erstelle Tabelle wiederspiegeln oder es wurde dort das Administrator Kennwort einmal eingegeben und gespeichert.

Für mich liegt hier kein Beweis für einen echten "Hack" vor. Er will die "Lücke" weder Apple melden, noch gibt es derzeit Code-Schnipsel noch einen anderen Beweis. Für mich ist das alles sehr fragwürdig...

Wo muss da ein Programm installiert werden? Der Typ startet lediglich eine App, die auf dem Desktop liegt. 99% aller macOS-Programme brauchen nicht installiert werden, sondern werden einfach per Drag and Drop auf den Mac gezogen.

Interessanter Einwand und danke zugleich für die negative Bewertung des Kommentars.
Tatsächlich könnte er die "App" wie du es nennst auch einfach von einem externen Massenspeicher rübergezogen oder gar direkt auf dem Gerät programmiert haben. Ändert aber nichts an der Tatsache: auch dazu braucht es einen User-Access und auf meine übrigen Einwände gehst du gar nicht erst ein. Schade... für eine konstruktive Diskussion fehlt da noch bisschen was

Erstens hatte ich nie vor eine Diskussion zu starten, ich wollte dich nur auf den einen Umstand hinweisen. Zweitens habe ich deinen Post nicht negativ bewertet, das war ein anderer. Denn ansonsten hast du schließlich recht, nichts an dem Video beweist die Glaubwürdigkeit dessen. Er könnte in seinem "Hackingtool" auch einfach sein Master-Passwort einprogrammiert haben. Möglichkeiten gibt es viele. Zumal der Typ den Fehler scheinbar deswegen nicht an Apple melden will, weil es kein Bug Bounty Programm gebe, was aber falsch ist. Es gibt eins, es ist lediglich nicht lukrativ.
Das mit dem User-Access ist allerdings vielleicht noch nichtmal zwingend, wenn es wirklich ein Sicherheitslücke geben sollte. Nur weil er es immer User-Kontext zeigt, muss es diesen ja nicht voraussetzen.

Linus Henze via Twitter nebst Kommentaren dazu von anderen (u.a. Patrick Wardle, Thomas Reed, etc.), die sich mit sowas beschäftigen und dessen Findung sicher überprüft/gegengecheckt haben:

Forbes (06.02.2019): Teenager Finds Apple Mac Hack That Steals Passwords With Evil Apps

Spiegel Online (05.02.2019): Passwörter in macOS gefährdet Forscher warnt vor Sicherheitslücken, verrät Apple aber keine Details
Eine Schwachstelle in macOS könnte es ermöglichen, eigentlich gesicherte Passwörter auszulesen. Der Experte, der die Lücke entdeckt hat, will sie aber nur unter Bedingungen mit Apple teilen.

heise (05.02.2019): Kritische Lücke im Mac-Schlüsselbund: Wie sich Nutzer schützen können
Ein Sicherheitsforscher hat Details zu einer Schwachstelle genannt, die macOS-Apps angeblich ungehinderten Zugriff auf Passwörter einräumt.

heise (04.02.2019): Sicherheitsforscher: Kritische Lücke in macOS erlaubt Auslesen von Passwörtern
Apps können Zugangsdaten abgreifen, warnt ein Sicherheitsforscher. Da Apple für Mac-Bugs nicht zahlt, wolle er die Lücke nicht melden.


Ein Apple Bug-Bounty-Programm bzgl. macOS gibt es leider nicht, nur eines bzgl. iOS und da auch nur per gezielter Einladung an von Apple selbst ausgewählte und Apple genehme Leute und selbst jenen gegenüber zeigt sich Apple beim Bezahlen offenbar knauserig – verschiedene (eingeladene) Experten warten da dem Vernehmen nach immer noch auf ihr (eigentlich zugesagtes, von der Höhe her eher als niedrig anzusiedelndes) Bounty-/Dankeschön-Geld von Apple, laufen diesem hinterher, und natürlich erst recht jene, die uneingeladen und abseits einer solchen Einladung Fehler gefunden und brav an Apple gemeldet haben und Apple auch diese durch deren Zutun hat fixen können (solche engagierten Leute tragen also aktiv dazu bei, dass Apples Software weniger Lücken aufweist als ohne ihre Hilfe, sie helfen mit ihren Findungen und Kenntnissen aktiv, iOS und macOS sicherer zu machen), teilweise fixt Apple auch stark verzögert oder heimlich, ohne den Findern davon Bescheid zu geben bzw. jene entdecken dann per eigener Recherche eher durch Zufall den Hinweis und die namentlichen Credits in Apple Security Notes, teilweise sogar irgendwann Monate oder Jahre später von Apple nachgereicht, freilich, ohne von Apple (immerin einem der reichsten Unternehmen des Planeten!) dafür außer einem feuchten Händedruck nichts weiter dafür zu bekommen, auch im Nachhinein offenbar nicht.

Siehe dazu u.a. auch:

heise (07.01.2018): Ärger über fehlendes Bug-Bounty-Programm: Sicherheitsforscher will Mac-Schwachstelle offenlegen
Da Apple nur für iOS-Lücken Geld bezahlt, will ein Sicherheitsforscher Details zu einem Bug in macOS veröffentlichen – statt sie vorab an den Hersteller zu melden. Aus gleichem Grund gibt es bereits einen bislang ungefixten Zero-Day-Exploit für macOS.

sowie (da wird auch mehrfach was dazu gesagt):

MacTech Conference 2018 (07.09.2018): Keynote: Protecting the Garden of Eden — Patrick Wardle ,

Video dazu (von Anfang bis Ende merkens-, sehens- und hörenswert!):
Youtube: MacTech Live: MTC2018-Protecting the Garden of Eden — Patrick Wardle (Vortrag, Video, 58:34 Minuten)


Präsentationsfolie dazu:
Patrick Wardle, Protecting the Garden of Eden (PDF, 61 Seiten)

Wie bitte ziehst Du denn etwas per Drag and Drop auf den Mac? Von einem USB-Stick aus? Meinetwegen (obwohl der gebräuchliche Weg wohl ein Download auf einen Mac wäre), aber genau diesen Prozess des Ziehens eines App-Bundles an irgendeine Stelle des macOS-Dateisystems nennt man eben auch Installieren dieser App. Wo ist Dein Punkt?

Wieso? Du kannst Apps von überall aus starten, und wenn Du die App irgendwo in Deinem Heimordner ablegst, brauchst Du natürlich kein Admin-Passwort.

Wozu sie ihn erst einmal kennen müssen.

Dass Apple bei Belohnungen für Bug-Finder knausert, ist alles andere als OK, aber deshalb jetzt Bug-Infos zurückzuhalten, ist IMHO ebenfalls eine Arschlochaktion.

Früher gab es den (wie ich fand ätzenden) Spruch Wer mit 18 kein Kommunist ist, hat kein Herz, wer mit 40 kein Kapitalist ist, hat keinen Verstand. Heutzutage ist es offenbar cool, schon mit 18 Kapitalist zu sein …

Die Folien von Mr. Wardle bringen es so dermaßen auf den Punkt – 100x 'Daumen hoch' dafür …

Nur noch mal ganz deutlich:

Apple gibt (vermutlich) mehr Geld für 'marketing' aus als für 'security' und 'quality assurance' …

Apple ist ein börsennotiertes Unternehmen – das heißt, an erster Stelle kommen grundsätzlich erst einmal die 'share holder' (und nicht die 'user' oder gar deren Anspruch auf 'privacy') … So lange die teilweise extrem schludrige Herangehensweise bezüglich des Fixens von Sicherheitslücken keine merklichen finanziellen Auswirkungen hat, wird sich in dem Bereich wohl auch nichts ändern in naher Zukunft.

Bezüglich der erschreckenden Details siehe "Protecting the Garden of Eden" – absolut lesenswert, insbesondere für all diejenigen, die im Jahr 2019 immer noch glauben "am Mac kann mir doch eh nichts passieren" …

Wobei halt wiederum das Problem ist wie bei so vielen Sicherheitsforschen: Er verdient an den induzierten Ängsten …
Das ist auch so ein Fake-Klischee, das ich bald nicht mehr hören kann. Die gesetzliche Bestimmung, auf die sich diese Aussage stützt, bringt lediglich die Anteilseigner in eine gesetzlich festgelegte Reihenfolge. Sprich, Aktionäre haben Priorität vor Käufern von Firmenanleihen und Anteilen in Privatbesitz.

Um eine Priorität gegenüber Kunden des Unternehmens geht es nicht; es wäre auch völlig unklar, woran die sich bemessen sollte. Gerade im Interesse der Aktionäre soll die Aktiengesellschaft ja dafür sorgen, dass es dem Unternehmen langfristig wohl ergeht – und wie tut sie das am besten? Indem sie treue Kunden generiert. Jedenfalls ist das eine gut zu vertretende Sichtweise; welche Sichtweise ein Unternehmen hier wählt, hängt letztlich vom CEO ab und ist mitnichten gesetzlich vorgegeben. Steve Jobs’ Verachtung für die „Interessen“ der Aktionäre dürfte bekannt sein – dennoch hat sich wohl kaum ein Aktionär über ihn beschwert während seiner Zeit als CEO …
Unbeholfenen Laien kann sicher was passieren; wie einem erfahrenen Nutzer was passieren können soll, verstehe ich nach wie vor nicht.

Das sollte fuer die Spezialisten bei Apple eine leichte Uebung sein,
sie besitzen im Gegensatz zum Forscher a) den Quellcode
und wissen b) nun genau wo sie suchen muessen.

Woher sollten sie das wissen? Dieses Video ist ja nun wirklich eher eine Verarsche – es zeigt eine App, die dasselbe Passwort wie im Schlüsselbund anzeigt. Darüber, wie sie das kann, macht das Video nicht einmal Andeutungen.

Eine solche App programmieren und dann dieses Video drehen – das mach ich Dir auch an einem Nachmittag, obwohl ich nicht den Hauch eines Planes hätte, wie ich den Schlüsselbund knacken könnte.

Ich empfinde das Video als ziemlich un-verschämte Selbstvermarktung. Es ist doch ganz offenkundig, dass sein Autor Kohle von Apple sehen will. Darauf brauchte er aber nicht hoffen, wenn Apple schon aufgrund des Videos das Problem selbst lokalisieren könnte.

Q: Forbes (06.02.2019): Teenage Hacker's Evil App Steals Apple Mac Passwords

Q:


tom's guide (06.02.2019): New Mac Hack Can Steal Your Passwords: What to Do Now

CTF Strike
CTF Strike: Teams: Team Sauercloud
Twitter: Team Sauercloud

Ist das so?
Ich weiß, dass ich als Admin das Anmeldepasswort des Nutzers ändern kann. Aber das Schlüsselbund auslesen?
Natürlich kann ich das Passwort ändern und mich dann mit dem neu vergebenem Passwort anmelden. Das ist aber keine Sicherheitslücke sondern eine definierte, gewollte Funktion.
Vor allem fällt die sofort auf.
Oder habe ich etwas übersehen?

Auch ist ein Brute-Force Angriff keine Sicherheitslücke. Die Möglichkeiten zu einem BF-Angriff sind ohnehin eingeschränkt. Die Zeit zwischen den Angriffen wird ja immer weiter erhöht. Oder meintest Du das mit einer Sicherheitslücke, die einen BF-Angriff ermöglicht?

Gruß, Stefan Mettenbrink.

Metti

Du kannst logischerweise jedes deiner gespeicherten Kennwörter im Schlüsselbund nachschauen mit deinem Passwort.

Hmm, alle Menschen machen Fehler.

Es soll ja Nutzer geben, die vor lauter Achtsamkeit auf die Vermeidung von Fehlern gar nicht zum Nutzen kommen. 🙄

Unbestritten, ich ganz sicher auch – jede Menge.

Und trotzdem hatte ich in 25 Jahren intensivster Computernutzung niemals auch nur ein einziges Problem; das ist ja mein Punkt. Und ich habe Pornos geguckt, mich auf illegalen Websites rumgetrieben , alles, was man angeblich so machen kann, um sich Probleme einzufangen. Ich habe lediglich nie auf Links geklickt, auf die zu klicken man schon total naiv sein muss, weil sie ihre üblen Absichten 200 km gegen den Wind kundtun.

Aber falls mir doch etwas passiert wäre – dann wäre mir das als Nicht-Laien doch aufgefallen. Ich meine, jeder Übeltäter, der persistent sein will, muss sich in einem der Autostart-Mechanismen von macOS breit machen. Die kenne ich aber wie meine Westentasche – würde also plötzlich ein neuer Eintrag in /Library/LaunchDaemons/ etc. stehen oder gar eine Kernel-Extension auftauchen, deren Funktion ich nicht kenne, dann würde ich das doch bemerken.

@ Weia

Siehst du. Ich kenne die LaunchDaemons nicht so gut, schaue auch viel zu selten bei den Jungs vorbei. Auch habe ich mir ebenfalls noch nie etwas eingefangen. (Glaube ich jedenfalls. )

Dennoch… ich würde nie ausschließen, doch einmal auf einen guten Trick hereinzufallen. Darum fühle ich mich sicherer, wenn ich ein paar Dämonen den Auftrag gebe, mal die Augen offen zu halten. Ein paar der kleinen Schlingel von Patrick Wardle habe ich nun seit längerem im Einsatz, da bekomme ich z.B. Bescheid, wenn ein neues Utility etwas installieren will, was mir für den Nutzen eventuell zu weit geht. Dann kann ich im Zweifel nach einer Alternative Ausschau halten. Finde ich jetzt nicht so verkehrt, gerade wenn man nicht das ganze System versteht bzw. immer im Blick hat.

Noch ist alles hier Bullerbü, aber selbst die Phishing-Mails werden immer besser.

Ja, das ist bei mir halt anders, aber das ist natürlich schon ein sehr enger Begriff von „Nicht-Laien“, da gebe ich Dir recht.
Die sehen in der Tat durch die Bank sehr sinnvoll aus, und man fragt sicher eher, warum Dinge wie KnockKnock nicht zu macOS dazugehören. Diese Apps kannte ich noch nicht, sehen auf den ersten Blick aber rundum empfehlenswert aus – danke für den Hinweis!

Ein Thread, was alles zu macOS gehören sollte, wäre sinnvoll, aber leider innerhalb von 2 Tagen komplett zugemüllt und unübersichtlich.

Das ich mein Schlüsselbund einsehen kann ist logisch.
Hier ging es um die Aussage, dass ich als Admin auf die Schlüsselbunddaten anderer Nutzer zugreifen kann. Das zweifel ich halt an. Ich kann als Admin lediglich das Kennwort des Anwenders zurücksetzen. Habe ich dann aber auch Zugriff auf dessen Schüsselbund?
...
Ich habe es gerade selbst getestet. Wenn ich als Admin das Passwort des Anwenders zurücksetze, akk ich mich als Benutzter anmelden und alle Daren des Anwenders sehen. Auch die aus dem Schlüsselbund.
Allerdings bekammt der Anwender das zwangsläufig mit, da sein Passwort nicht mehr funktioniert.

Gruß, Stefan Mettenbrink.

Huh?!?

Wenn ich das tue, wird mir von macOS mitgeteilt, dass das Account-Passwort des Anwenders erfolgreich geändert wurde, aber nicht das des Anmelde-Schlüsselbundes, das, damit der Anmelde-Schlüsselbund beim Anmelden wieder automatisch geöffnet wird, der Anwender daher unter Angabe seines alten Passwortes selbst auf das neue umstellen muss.

Und so sollte es auch sein. (Wobei der Anwender dann selbstverständlich auch das vom Admin vergebene Passwort auf ein neues eigenes umstellen sollte …)

Ich habe jetzt zwar nicht die letztens Posts gelesen (wie seit ihr plötzlich auf Passwortresets gekommen?), aber in dem vorhin veröffentlichten Update von macOS gab es unter anderem folgende Änderung:Das klingt im ersten Moment doch sehr nach unserem Bug. Es wäre interessant zu wissen, ob Apple das damit gefixt hat (für iOS wird übrigens der selbe Fix erwähnt).

Da wäre ich mir nicht so sicher. Der Exploit soll ja keine höheren Rechte benötigen und alle Versionen von macOS X betreffen – dafür ein Fix in so kurzer Zeit wäre wohl ein Riesenzufall. Den Fix dann aber nicht sofort für alle Systemversionen zu veröffentlichen wäre fahrlässig.

Apple würde doch niemals fahrlässig handeln.

In dem Video ist glaube ich nur die Rede davon, dass du kein Passwort eintippen musst. Dazu gibt es grundsätzlich zwei Vorgehensweisen. Bei der ersten braucht man tatsächlich kein Rechte dazu durch einen Bug, bei der zweiten erschleicht man sich diese Recht unter der Hand durch einen Bug. Aber ja, es wäre wohl ein sehr großer Zufall. Und dass in der Bug-Meldung andere Personen drin stehen, hieße, wenn es dieser Bug wäre, nur, dass er auch noch von anderen gefunden worden war.
Aber sirkb kann uns da sicherlich mehr erzählen, er muss ja nicht nur in einer PN an mich gegen Apple hetzen, du darfst das auch gerne hier machen

Nein, in dem Video nicht. Linus hat sich dazu auf twitter geäußert:

Sicher kannst du von überall deine Apps/Programme starten, wo sie liegen ist sch*** egal. Dennoch: du brauchst einen Zugang zum User von dem du die Keychain auslesen musst, FOLGLICH BRAUCHST DU EINEN USER ACCESS zumhundertstenmal

Und der Typ mit dem Hack hat nie behauptet, dass der User-Access zwingend ist (soweit ich mich korrekt erinnere)! Auch nicht in dem von rosse gezeigten Twitter-Post.

Er hat auch sonst relativ wenig behauptet und noch weniger bewiesen. Im gezeigten Video erfolgt der Angriff jedenfalls über die reguläre Benutzeroberfläche. Warum sollte er das so machen, wenn der Angriff auch von "außen" möglich ist? Wenn er eine Möglichkeit für einen Angriff von außen hätte, dann hätte er das wohl auch gezeigt, denn sowas wäre tatsächlich schwerwiegend. Und er hat erst recht keinerlei Beweise dargelegt außer einem fragwürdigen Video. Auch in der Zwischenzeit seit der Veröffentlichung gibt es nicht einmal den Hauch eines Beleges. Ein Skript zu schreiben, das dir die Anzeige vom Video auswirft, das schafft jeder halbwegs bewandte Programierer...

Warum schreist Du? Ich habe doch nicht bestritten, dass Du ein Nutzer-Passwort brauchst? Ich habe nur bestritten, dass Du das Nutzerpasswort für einen Nutzer mit Admin-Rechten brauchst.
Da stimme ich Dir ja voll zu.

Wie im aufgescheuchten Hühnerstall hier… Als hätte jemand was Sakrosantes angefasst, ein Heiligtum besudelt, fliegen hier aufgeregt die Gemüter hoch, es fliegen die Fetzen, und man desavouiert sich gegenseitig und erst recht gegen den Aufdecker, behandelt ihn wie einen Nestbeschmutzer ("Er hat Jehova gesagt! Steinigt ihn!"). Beruhigt euch bitte mal wieder. Liegen bei euch die Nerven so sehr blank, dass euch sowas so aus der Fassung bringt und ihr so keilen müsst? Warum kann man sowas nicht eigentlich völlig sachlich und nüchtern entgegennehmen und sagen: "Ja, scheiße und peinlich aber auch, was da wohl passiert ist!"

Muss darum jetzt gestritten werden, ob derjenige, der es rausgefunden und veröffentlicht hat, recht hat oder nicht, und warum er es so gemacht hat? Er wird seine Gründe dafür gehabt haben, den Fehler (der ja von mindestens einer weiteren Seite aus bestätigt worden ist) so zu veröffentlichen und nicht anders, um eben aus Verantwortungsgefühl heraus, dass es nicht sofort massenweise nachgemacht wird keine genaue Handlungsanweisung mitzuliefern und auch noch haarklein jedermann zu zeigen: so geht's, so kriegt es auch jedermann hin; sowas bewusst unklar zu halten und gerade eben soviel zu zeigen, dass es genug ist, um zu verstehen, dass da wohl Nachbesserungsbedarf an der Stelle ist und dem Hersteller damit einen Wink mit dem Zaunphal zu geben, da nachzubessern, aber eben zu wenig für Außenstehende zu zeigen, damit die es sofort nachmachen können (Stichwort: responsive disclosure), ist ja wohl das Mindeste, was man da zugrundelegen kann, das ist gängige professionelle Praxis bei derlei Exploits, sowas findet regelmäßig auf allen möglichen Security-Veranstaltungen statt. Zeigen/Demonstrieren, was geht, das Hütchen kurz lupfen, und dann schnell wieder das Hütchen drauf, nicht zu viel zeigen, nicht zuviel verraten. Der Hersteller weiß in solchen Fällen meistens schon lange über alle Details, Umstände und Versuchsanordnung Bescheid, ist schon längst dabei, es zu fixen, in diesem Fall hat er es erst jetzt und so erfahren und muss selber seine eigenen Leute bemühen, die Details rauszufinden, aus erklärten und nachvollziehbaren Gründen, denn niemand ist verpflichtet, einem Hersteller mitzuteilen, was er weiß – wenn er es tut, tut er es aus freien Stücken, oder er tut es eben nicht.

Apple hat selber genug Software-Ingenieure und Security-Leute, dann müssen die halt jetzt mal vermehrt ran und ihren Job tun, dazu sind die da, Apple kann sich nicht immer drauf verlassen, dass andere für sie die Kohlen aus dem Feuer holen und den Job tun (und das oft unentgeltlich), den eigentlich die eigenen gut bezahlten Leute und das eigene Software-Testing (automatisiert wie auch durch Menschen) und Qualitätsmanagement (QA) intern hätten erledigen sollen und müssen, bevor man seine Software auf die Allgemeinheit loslässt. Und wenn die halt nicht gut genug sind oder zu wenig, dann muss man halt eben solche einstellen, die ihren Job ordentlicher machen und davon dann genug bzw. muss ich meinen Laden halt intern anders organisieren. Apple schwimmt in Geld. Daran kann es nun wirklich nicht liegen, dass sie gutes und ausreichend Personal nicht bezahlen könnten.
Oder ich hole mir Hilfe von außen zur Unterstützung bzw. lasse sie zu und gehe mit denen dann auch vernünftig und fair und transparent um. Zum Beispiel in Gestalt eines Bug-Bounty-Programms, das seinen Namen auch verdient. Oder/und in Gestalt einer oder mehrerer Audits.

Was bekommt Apple da eigentlich so schwer gebacken, das endlich zu tun, andere kriegen es doch auch hin, zwar auch mit dem einen oder anderen Fehler, aber die verhalten sich auch anders und kommunizieren das auch anders, gehem ganz anders und viel transparenter mit Fehlern und Problemen um, haben ein ganz anderes, offeneres und viel dankbareres Verhältnis zu den Findern und Helfern als Apple. Warum kriegt Apple das nicht auch hin, sie wollen doch immer und überall besser sein als die anderen, nein, die Besten. Warum sind sie es nicht bzw. warum geben sie sich da so die Blöße und sind de facto und bei der Nagelprobe genau das Gegenteil von dem, als was sie gerne gesehen werden wollen und von sich behaupten, warum sind sie da im Grunde nicht anders, genauso oder schlimmer als die anderen statt deutlich besser und vorbildhafter?

Das ist richtig, aber wenn er es nicht tut, dann kann man das doch wiederum kritisieren, oder nicht?

Ich finde sein Verhalten nicht OK, weil ich generell, an andere wie an mich selbst, den Anspruch habe, Dinge im Sinne der Gemeinschaft zu tun, auch wenn man dazu nicht verpflichtet ist und auch nicht persönlich davon profitiert. Und ich finde, in diesem Fall ist ganz klar, dass die Gemeinschaft davon profitieren würde, wenn Apple so genau wie möglich über die Details von diesem Bug unterrichtet würde, weil das die Veröffentlichung von einem Bugfix beschleunigen würde.

Ich stimme zu, dass Apple sich hier knausrig/schofel verhält. Ich stimme nur eben nicht zu, dass unangebrachtes Verhalten auf der einen Seite unangebrachtes Verhalten auf der anderen Seite rechtfertigt.

Von diesem Punkt abgesehen gebe ich Dir in allem Recht.

Kann man. Man kann sich aber auch ellenlang daran hochziehen und von der eigentlichen Ursache, dem eigentlichen Missetäter, dem eigentlichen Problem geschickt ablenken. Das eigentliche Problem ist nicht dieser Informatik-Student, der da was gefunden hat. Das eigentliche Problem ist, was er gefunden hat und dass er es überhaupt gefunden hat, dass da überhaupt was ist, was er hat finden können (und dann auch noch sowas).

Ich würde es mal anders herum betrachten: sieh es als Alarmsignal und wohlmeinenden Hilferuf in Richtung Apple, dass sie den Ist-Zustand endlich ändern, der scheint Einigen so langsam nämlich unerträglich geworden zu sein. Und nicht alle da draußen sind so wohlmeinend mit Apple wie diese Leute. Von der Dunkelziffer mal ganz zu schweigen.

Jetzt stolpern schon 14-Jährige Unerfahrene per Zufall und beim Herumprobieren und junge 18-Jährige Informatiker und Hacker mit gezielten Fachkenntnissen über Apples Software-Fehler, über Fehler, die die firmeninterne QA eigentlich hätte früher aufdecken und tilgen müssen.
Dunkelziffer, wer da draußen in der Welt auch was gefunden hat und lieber für sich behält oder es still weiterverscherbelt in einschlägigen Kreisen, unbekannt. Von den Großen und staatlich Organisierten mal ganz zu schweigen.
Was sagt das über Apples Software-Qualität und -Qualitätskontrolle und -Managment aus?
Wie kann sowas passieren bei einem solchen Konzern? Wie ist das möglich, was liegt da im Argen?

DAS sollte mal zu denken geben. Nicht gleich reflexartig auf dem herumprügeln und ihn infragestellen, der da was findet.


Er hat halt vielleicht einfach die Schnauze voll von Apples arrogantem Verhalten, wie viele andere in der Branche mittlerweile auch. Apple tritt nicht gutmütig und fair und dankbar auf, also warum sollen es andere Apple gegenüber auch länger tun und ihnen auch noch hinterherlaufen? Nö, dann muss Apple halt alleine zusehen, wie sie es rauskriegen und fixen, Leute und Geld genug haben sie dazu.
Apple versteht offenbar nur die Sprache des Geldes bzw. die Sprache des öffentlichen Shamings und Liebesentzugs, erst, wenn das bedroht ist bzw. wenn es negative PR gibt und evtl. Umsatzeinbußen, dann erst kommen die in Wallung, regen sich, bequemen sich, ändern was. Vorher nicht, vorher gibt sich Apple taub und bräsig – ihr Zeugs verkauft sich ja offenbar auch so.


Aber bitte nicht als Einbahnstraße, das ist auf Dauer dann nämlich recht unfair. Apple nimmt gerne und knausert im Geben. Auch und gerade der Gemeinschaft gegenüber. Warum soll man da weniger kapitalistisch sein und altruistischer als Apple es ist, Apple hat es am wenigsten verdient, dass man ihnen gegenüber altruistischer ist als sie selber vorleben – eher im Gegenteil: man bekommt eher noch einen Fußtritt bzw. wird am langen Arm verhungern gelassen, fühlt sich von Apple ausgenutzt, wenn man hilft oder helfen will. Dann gibt's halt Hilfe nur noch gegen Cash und ansonsten eben keine Hilfe mehr, Apple lebt es doch so vor, will es offenbar nicht anders.

Siehe grad' Gesagtes. Geschieht ja auch. Nur ist die Zumutbarkeitsgrenze bei dem Einen oder Anderen halt irgendwann erreicht, solche Leute haben auch sowas wie eine Selbstachtung, und irgendwann sagst man sich halt: "Wofür reiße ich mir eigentlich hier den Arsch auf, ich bekomme es ja doch nicht honoriert – Apple schwimmt im Geld, und ich mache für die hier auch noch freiwillig die Drecksarbeit und sorge mit dafür, dass deren Produkt gut und sicher ist", teilweise warten gewisse Finder sogar monatelang oder jahrelang, dass Apple einen entspr. Fix überhaupt als solchen fixt und und als gefixt vermeldet, die Finder als mitbekommen, dass eine von ihnen gefundene Lücke nun endlich gefixt ist – das Produkt für die Allgemeinheit somit um mindestens diese Lücke/Schwachstelle ärmer, sicherer und besser ist. Soviel zum "Dienst" bzw. eher Nicht-Dienst an der Allgemeinheit durch Apple selbst (von anderen Nicht-Diensten und Ausnutzen der Allgemeinheit seitens Apple zulasten der Allgemeinheit mal ganz abgesehen).

Dann sollte bitte auch darauf der Schwerpunkt beim Meckern liegen, denn DAS ist die Ursache, und nicht der Finder/Entdecker ist die Ursache

Siehe zuvor Gesagtes. Sieh es als ganz bewusst gewähltes und wohlmeinendes schrilles Alarmzeichen in Richtung Apple, das alle und erst recht Apple aufhorchen und umdenken und umsteuern lassen sollte. Als ein solches ist es sicher gedacht. Dazu ist er Apple viel zu sehr verbunden. Wenn er es nicht macht, die Alarmsirene tröten und Apple mit dem Zaunpfahl winken, macht es demnächst ein anderer (bzw. gab's ja schon, eher zaghaft). Und noch einer. Und noch einer. Bis Apple eines Tages womöglich alleine dasteht in ihrer grenzenlosen Arroganz, und niemand hilft ihnen mehr freiwillig und unentgeltlich – auf dem besten Wege dazu sind sie bereits.

Und: wo einer ist, der inzwischen so weit ist, sind gewiss noch andere, die inzwischen ähnlich oder genauso denken und fühlen. White-Hats. Und Black-Hats sowieso.

Dann sind wir uns ja einig.

Mir steht schon ein Bündel an möglichen Motivationen von ihm/Erklärungen für sein Verhalten vor Augen, es ist nicht so, dass ich das nicht sehe.

Aber ich akzeptiere es eben nicht, weil obiges Zitat von mir für mich einen absoluten Wert darstellt, den ich nicht zu relativieren bereit bin. Diesen Wertentscheid musst Du mir bitte lassen.

Weia:

Er hat's für sich halt so entschieden, ob's Dir und mir und uns allen hier nun so passt oder nicht (rückgängig machen wir es durch unsere Diskussion über seine Entscheidung hier jedenfalls nicht) – sicher auch nach reiflicher Überlegung und innerer Abwägung und Beratung mit Anderen, auch ihm billige ich sowas wie ein Verantwortungsgefühl und ein Gewissen zu bzw. spreche es ihm nicht von vornherein ab – ich nehme zur Kenntnis, was er gemacht und wie er es gemacht hat, ändern kann ich daran nix, auch durch diskutieren und lamentieren nicht.

Linus Henze ist in diesem Fall offenbar zum Schluss gekommen: "Wenn ich etwas bewirken, ändern will, muss ich es so machen oder wenigstens versuchen, anders passiert ja offenbar nix."
Auch eine Art, gesellschaftliche Verantwortung wahrzunehmen und zu begreifen. Indem ich handle bzw. mal bewusst nicht handle oder bewusst anders handle als es von mir erwartet wird und als ich es bisher praktiziertt habe und indem ich ein Zeichen setze, eines, das Wellen schlägt und Diskussion erzeugt (so wie hier jetzt) und die Aufmerksamkeit hoffentlich auf das eigentliche Problem lenkt (statt auf ihn selbst). Tut zwar vielleicht dem Hauptbetroffenen weh (zumindest in der Außendarstellung), aber vielleicht und möglicherweise ist das, so eine kleine Schock-Therapie, ja zur Abwechslung auch mal ganz gut und heilsam so und möglicherweise, wenn Apple das Zeichen verstanden hat, heilsamer und der Alllgemeinheit in der Folgewirkung somit zuträglicher als wenn er es nicht gemacht hätte und so hätte weiterlaufen lassen wie bisher. Und: junge Menschen neigen eher zu Impulshandlungen (wenn es denn eine solche war) und sind oft draufgängerischer, rücksichtsloser, rigoroser als ältere (manchmal ist das gut, manchmal ist das schlecht).

Schaun mer mal, was rauskommt bei der ganzen Sache und harren der Dinge, die da noch kommen werden.

Kannst ihn ja mal nett anschreiben und ihn im Zwiegespräch fragen, warum er es nun bewusst so gemacht, denn offenbar ist er durchaus fähig dazu, es anders zu machen und so zu machen wie von Dir gewünscht, hat es in der Vergangenheit bzgl. anderer Bugs vielleicht auch so praktiziert wie es üblich und angeraten ist und auch von Dir gewünscht.

Weia:

Nachtrag: damit wir uns nicht falsch verstehen: auch ich hätte nicht so gehandelt wie Linus Henze, auch ich hätte es gemeldet, wäre ich über sowas gestolpert oder hätte es herausgefunden. Aber seine vorgebrachten Argumente kann ich trotzdem verstehen, auch, wenn ich anders als er gehandelt hätte. Nicht alle teilen sie, auch nicht im Security-Lager, selbst da prallen im Moment verschiedene Bewertungen und Sichtweisen aufeinander, siehe z.B. auch von heute vs. .

Youtube: Loriot: die Nudel "Sie haben da was.…"

Linus Henze hat, analog zum Loriot-Video, Apple deutlich gemacht und darauf hingewiesen: "Sie haben da was…"
In aller Öffentlichkeit. Statt unter vier Augen und vor der Türe oder es gar ganz für sich zu behalten und stattdessen gar nix zu sagen (was er hätte tun können).

Apple hat Linus bereits am Dienstag kontaktiert, aber auf seine Antwort (mittlerweile sogar 1x nachgehakt) kam bisher keine Reaktion seitens Apple:

Donnerstag! Wir wissen doch inzwischen, Apples Mühlen mahlen langsam. Siehe Group-Facetime.

Vielleicht sitzt gerade ein Marketing Team an dem geforderten Antwortschreiben…?

Vorschlag: „Wir beugen uns keiner Erpressung!“ (Life of Brian)

Update zur Ursprungsmeldung:

heise (01.03.2019): Schwachstelle im Mac-Schlüsselbund: Details nun doch an Apple übermittelt
Die Lücke sei zu schwer, um weiter auf eine Reaktion von Apple zu warten, so der Sicherheitsforscher. Gefordert wurde ein Bug-Bounty-Programm.

Q: