Wer in eine Wohnung einbrechen will, muss in der Lage sein, das Türschloss zu knacken. Normalerweise gilt das auch für Sicherheitslücken in Software: Um eine Schwachstelle auszunutzen, braucht es gewisse technische Fähigkeiten.
Ein übler Bug in Apples neuestem Desktop-Betriebssystem MacOS High Sierra macht es Angreifern deutlich einfacher. Es braucht keinerlei Hacker-Kenntnisse, um ein normales Benutzerkonto in einen Administratoren-Account zu verwandeln. Das ermöglicht es, nach Belieben sicherheitsrelevante Einstellungen zu verändern, Software zu installieren oder sogar Passwörter auszulesen. Apple hat offenbar vergessen, die Haustür abzuschließen.
Zur Einführung des iPhone X sprach Apple nur in Superlativen über die neue Technologie Face ID. Nun könnten zwei Fälle den Konzern dazu bringen, diese Aussagen zu relativieren.
Der türkische Entwickler Lemi Orhan Ergin meldete die Schwachstelle am Dienstagabend dem Apple-Support auf Twitter. Er beschreibt auch, wie Nutzer den Fehler ausnutzen können. Dafür müssen sie in den Systemeinstellungen unter "Nutzer & Gruppen" auf das Schlosssymbol klicken. Anschließend öffnet sich eine Sicherheitsabfrage, die Nutzernamen und Passwort verlangt, um die gewünschten Zugriffsrechte zu gewähren.
Diese Angaben sind aber gar nicht nötig. Wer als Nutzername "root" eingibt kann sich ohne Kennwort als Administrator anmelden, wenn er davor einmal mit der Maus ins leere Passwortfeld klickt und einige Male den "Entsperren"-Button betätigt. Anschließend lassen sich dieselben Daten auch beim Hochfahren nutzen, um sich mit Root-Rechten einzuloggen. Die Schwachstelle findet sich in allen aktuellen Versionen von MacOS High Sierra inklusive der Beta 10.13.2. Der Vorgänger MacOS Sierra ist nicht betroffen.
Der Fehler ist schon länger bekannt - aber niemand nahm Notiz
Offenbar wurde der Fehler bereits vor mehr als zwei Wochen entdeckt. Ein Nutzer wies in Apples eigenen Entwicklerforen darauf hin - allerdings klang es eher nach einem praktischen Tipp, um sich bei einem vergessenen Passwort zu behelfen als nach einer schwerwiegenden Sicherheitslücke. Am 20. November wurde der Bug als Schwachstelle gemeldet, in dem entsprechenden Tweet ist auch der offizielle Twitter-Account von Apple erwähnt. Der Hinweis wurde allerdings nur 16 Mal geteilt, und Apple nahm keine Notiz.
Erst Ergins Hinweis mit mehr als 10 000 Retweets veranlasste Apple zu einer Reaktion. Ergin nennt den Bug ein *RIESIGES* Sicherheitsproblem. Etliche weitere IT-Sicherheitsforscher äußern sich auf Twitter fassungslos, wie Apple ein solches Missgeschick passieren konnte. "Das ist so dumm", zitiert Motherboard den IT-Experten Jay Little von Trail of Bits.
Apple will die Lücke mit einem Sicherheitsupdate schließen
Bei all der Aufregung ist die reale Gefahr für normale Nutzer aber verhältnismäßig gering. Um sich Administratorenzugriff zu verschaffen, braucht es einen entsperrten Rechner. Wenn ein Macbook oder ein Mac ohne Passwortschutz in die Hände von Dritten fällt, die böse Absichten haben, dürften die zusätzlichen Root-Rechte noch das geringste Problem für die Betroffenen sein. Schließlich können die Kriminellen ungehindert auf alle Daten und Dokumente zugreifen, die auf dem Computer gespeichert sind. Die Sicherheitslücke betrifft in erster Linie Geräte, die oft unbeaufsichtigt bleiben oder von mehreren Personen genutzt werden, etwa Firmenrechner oder Laptops und Macs in Universitäten.
Um trotzdem sicherzugehen, können Nutzer dem Root-Account ein Passwort zuweisen. Hier erklärt Apple, wie das funktioniert. Das Unternehmen arbeitet bereits an einem Update, das den Bug beheben soll (s. Update). Apple muss zum wiederholten Male einen sicherheitsrelevanten Fehler in MacOS High Sierra einräumen. Zuvor wurden etwa Passwörter für verschlüsselte Partitionen im Klartext angezeigt. Außerdem konnten bösartige Apps auf Apples Keychain zugreifen und Kennwörter auslesen.
Update: Apple hat das angekündigte Update mittlerweile zur Verfügung gestellt. Dieser Artikel erklärt, wie Sie die Aktualisierung starten.