Da Apple nur für iOS-Lücken Geld bezahlt, will ein Sicherheitsforscher Details zu einem Bug in macOS veröffentlichen – statt sie vorab an den Hersteller zu melden. Aus gleichem Grund gibt es bereits einen bislang ungefixten Zero-Day-Exploit für macOS.

Unter Sicherheitsforschern wächst die Kritik an Apple: Der Konzern ist zwar im Sommer 2016 mit einem eigenen Bug-Bounty-Programm nachgezogen, doch deckt dieses nur Schwachstellen in iOS ab – für in macOS gefundene Sicherheitslücken will der Hersteller Entwickler bislang nicht entlohnen.



Aus diesem Grund beabsichtigt der Sicherheitsforscher Patrick Wardle, Details zu einem Bug in Apples Grafikkartentreibern einfach zu veröffentlichen, statt diese erst direkt an den Hersteller zu melden – und diesem Zeit für die Beseitigung zu geben.

Fehlendes Apple-Kopfgeld für Mac-Bugs macht 'Verkauf verlockend'

Der Fehler ermögliche das Auslösen einer Kernel Panic und sei auch in der aktuellen High-Sierra-Version macOS 10.13.2 noch präsent. Apple weigere sich, ein macOS-Bug-Bounty-Programm einzurichten, erklärt Wardle, deshalb sei es schon "verlockend, solche Schwachstellen zu verkaufen".

Für gravierende iOS-Schwachstellen werden von Sicherheitsfirmen und Exploit-Händlern längst fünf- bis sechsstellige Summen geboten. Dies ist auch mit ein Grund dafür, dass es kaum mehr öffentliche Jailbreaks für iOS gibt – schließlich lassen sich die Lücken lukrativer verwenden.

Apple fixt alte Schwachstelle heimlich – verschweigt dies aber über Monate



Der Sicherheitsforscher bemängelt außerdem, dass Apple inzwischen Sicherheitslücken heimlich beseitigt und Informationen dazu erst viele Wochen später versteckt preisgibt. Ein von ihm gemeldeter Fehler, der einer App bereits seit rund 13 Jahren ermögliche, Schadcode mit Systemrechten auszuführen, sei schon im vergangenen Oktober mit macOS High Sierra 10.13.1 (sowie mit einem Sicherheits-Update auch in macOS Sierra und OS X El Capitan) gestopft worden, ein öffentlicher Hinweis auf die Beseitigung der Schwachstelle folgte aber erst jetzt im Januar.

The Ugly: for last ~13 years (OSX 10.4+) anybody could locally sniff 'auth tokens' then replay to stealthy & reliably elevate to r00t ἴeᾑ2☠️ The Bad: reported to Apple -they *silently* patched it (10.13.1) ᾒc The Good: when confronted they finally assigned CVE + updated docs ὠb pic.twitter.com/RlNBT1DBvK — patrick wardle (@patrickwardle) January 16, 2018

Das fehlende Bug-Bounty-Programm für macOS führte auch ein anderer Sicherheitsforscher ins Feld, der zum Jahresbeginn den Zero-Day-Exploit IOHIDeous für macOS veröffentlicht hat. Dieser ermöglicht lokalen Programmen, einen Mac zu übernehmen. Apple hat ein Update für Januar in Aussicht gestellt, bislang ist die wohl ebenfalls viele Jahre alte Lücke aber weiter ungeschlossen.

iOS-Bug-Bounty auch nur auf Einladung



Apple zahlt je nach Schwere der Schwachstelle bis zu 200.000 Dollar an Sicherheitsforscher, die Lücken in iOS vorab an den Konzern melden. Allerdings gilt dies offenbar nur auf Einladung durch Apple und unter bestimmten Bedingungen: Ein Sicherheitsforscher, der eine gravierende HomeKit-Schwachstelle an Apple gemeldet hatte, die Unbefugten eine Fremdkontrolle von Heimautomatisierungsgeräten ermöglichte, wurde offenbar nicht entlohnt – er warf Apples Sicherheits-Team im Anschluss öffentlich erhebliche Versäumnisse vor.

