Moderne Betriebssysteme zeichnen sich nicht nur durch eine Vielzahl an Features und ein eine optisch ansprechende Benutzeroberfläche aus. Trotz umsichtiger Arbeit der Entwickler finden sich viele Sicherheitslücken, welche oftmals von Sicherheitsforschern und Hackern ausfindig gemacht werden. In solchen Fällen winken die Belohnungen eines Bug-Bounty-Programms: Wer auf einen Exploit aufmerksam macht, erhält zumeist eine Belohnung. Das scheint aber vor allem bei Apple nicht immer reibungslos zu funktionieren: Soeben machte der bekannte Entwickler Jeff Johnson eine Sicherheitslücke in macOS Ventura öffentlich, nachdem Cupertino nicht reagiert hatte.


Apple kennt Sicherheitslücke seit zehn Monaten
Wer die Systemeinstellungen unter macOS 13 aufruft, findet unter dem Punkt „Datenschutz & Sicherheit“ die sogenannte „App-Verwaltung“. Wird eine Anwendung von einer anderen aktualisiert oder gelöscht, so leitet das System den Nutzer in die Einstellungen weiter, wo er diesem Eingriff gegebenenfalls zustimmen muss. Johnson identifizierte im Oktober 2022 ein schwerwiegendes Problem, auf das im Rahmen eines Beitrags hinwies: Er entdeckte eine Möglichkeit, die App-Verwaltung zu umgehen, ohne vollständigen Zugriff auf die Festplatte zu benötigen. Wie Johnson nun mitteilt, habe er Apple den Fehler am 19. Oktober des Vorjahres gemeldet. Der Konzern bestätigte den Erhalt des Berichts am 21. Oktober 2022. Getan hat sich seitdem jedoch nichts.

Apple ohne Reaktion: Johnson zeigt sich frustriert
Johnson legt nun Details zu dem Exploit offen, weil er „jegliches Vertrauen in Apple verloren habe, das Problem rechtzeitig zu beheben“. Zehn Monate nach der Meldung der Sicherheitslücke liegt immer noch kein Fix vor. Johnson findet übrigens bei den Sicherheitshinweisen zum Update auf macOS 13.4 Erwähnung: Sein Bericht sei bei der Behebung eines weiteres Exploits hilfreich gewesen. Eine Prämie habe er jedoch nicht erhalten, so Johnson. Ihm sei klar, dass Cupertino eine solche wohl nicht zahlen werde: Apple habe sich sein Schweigen für die vage Möglichkeit einer Zahlung erkauft. Dementsprechend hart fällt Johnsons Fazit aus: Er bereue seine Teilnahme am „Apple Security Bounty“-Programm, es handle sich um eine frustrierende Zeitverschwendung.