Das neue macOS hatte eine schwere wie simple Sicherheitslücke, die jeden Nutzer ohne Probleme zum Admin eines Systems machte. In diesem Artikel fassen wir die aktuellen Informationen dazu zusammen (mittlerweile gibt es einen Patch). Gefunden hat die Lücke ein türkischer Programmierer, der auf Twitter schreibt: „Jeder kann sich ohne Passwort als root einloggen, nachdem er mehrfach auf den Login getippt hat. Seid ihr euch dessen bewusst @Apple?“ Einen Fix gibt es bisher nicht.
WIRED hat mit Sicherheitsexperte Karsten Nohl über Schwachstellen wie die von Apple gesprochen. Er leitet die Security Research Labs in Berlin und forscht zu den Themen GSM-Sicherheit, RFID-Sicherheit und Privatsphäre. Nohl wurde weltweit bekannt, als er zeigte, wie einfach Fremde die eigenen Telefongespräche abhören können. Auch zu Apple hat er eine klare Meinung.
WIRED: Karsten, wie bitte kann es zu so einer dummen Sicherheitslücke kommen? Das ist ja als würde man einen Safe bauen, und vergessen, ein Schloss einzusetzen.
Karsten Nohl: Das ist in der Tat ein Anfängerfehler, den man selten sieht. Ich hätte ihn vor allem von einer Firma wie Apple nicht erwartet. Das ist allerdings nicht das erste Mal, dass so etwas einer großen Firma passiert. Intel hatte einen sehr ähnlichen Fehler vor wenigen Monaten.
WIRED: Kaum vorstellbar.
Nohl: In der Tat, aber auch Intel-Computer, die sich mit einem lokalen Netzwerk verbinden, erfragen ein Passwort. Wenn man dort das Passwort leer gelassen hat und dann auf weiter klickte, war man eingeloggt und hatte die Kontrolle über den gesamten Computer. Scheinbar sind das Programmierfehler, die nicht auditiert werden, weil sich niemand vorstellen kann, solch einen blöden Fehler überhaupt zu machen. Noch einmal: Das hätte Apple wirklich finden müssen, vor allem, weil Intel wenige Monate vorher den gleichen Fehler gemacht hat.
Karsten Nohl ist Sicherheitforscher und Leiter der Security Research Labs
WIRED: Und weil Millionen von Dollar in die Erforschung neuer Betriebssysteme fließen…
Nohl: Typischerweise ist Software komplizierter, als man sich das vorstellt. An solche Corner Cases denkt dann niemand.
WIRED: Du meinst außergewöhnliche Fälle, die bei der Betrachtung von Software im Labor einfach nicht vorkommen.
Nohl: Genau, und der konkrete Fall ist ja genau so ein Corner Case. Wenn der User das erste mal das Passwortfeld leer lässt, wird er ja nicht eingeloggt. Beim zweiten Mal auch nicht. Erst beim dritten Mal reagiert das System auf einmal. Ich gehe davon aus, dass irgendeine obskure Funktion, vielleicht sogar eine Sicherheitsfunktion, dafür verantwortlich ist. Sie führt vermutlich dazu, dass die Passwortüberprüfung komplett übersprungen wird.
WIRED: Wenn die großen Anbieter nicht einmal in der Lage sind, solche Fehler zu finden, wie soll der Nutzer noch Vertrauen aufbauen?
Nohl: Gute Frage, und es ist ja nicht das erste Mal, dass Apple das passiert. Es gab ja auch auf dessen iOS-Geräten in der Vergangenheit Bugs, über die man sich ohne Passwort einloggen konnte. Das ist auf dem iPhone dann irgendwann mal systematisch gelöst worden, indem man einen Hardwareschlüssel eingeführt hat.
WIRED: Kannst du das erklären?
Nohl: Auf dem iPhone brauchst du immer eine PIN oder einen Fingerabdruck, um das Dateisystem zu entschlüsseln. So ist es technisch fast ausgeschlossen, dass man ohne PIN oder den richtigen Fingerabdruck sinnvoll auf das System zugreifen kann. Nur solche Sicherheitsmaßnahmen greifen wirklich und bewirken, dass Fehler nicht zu schlimmen Folgen führen können.
WIRED: Also eine Zwei-Wege-Authentifizierung für Computer-Systeme.
Nohl: Im Fall von iOS ist das elegant gelöst. Da wird der Zugangs-Code von einem speziellen Sicherheitschip überprüft, der den Zugriff auf das System regelt. Der Prozess ist also komplett entkoppelt vom Rest des Systems. Dieser kleine Chip kann wesentlich besser programmiert und überprüft werden, als der Rest des Systems. Dank ihm spielen Fehler eine kleinere Rolle, weil der Chip als stabiles Tor vor allem anderen steht. Ähnliches gab es für Computer auch schon einmal, ist aber dann wieder aus der Mode gekommen, weil sich die Hersteller nicht einigen können. Warum Apple sowas jetzt nicht bei seinen Laptops einsetzt, ist mir unbegreiflich.
WIRED: Vor allem klingt das nach einer so naheliegenden Lösung.
Nohl: Wie jede Änderung ist auch diese mit Aufwand verbunden und in jeder Änderung lauern auch neue Fehler. Apple hat aber so viel Erfahrung durch sein iOS-Betriebssystem, dass man auch den Mac viel besser sichern könnte. Das macht das Unternehmen auch, allerdings in Babyschritten. Die Aufmerksamkeit der Firma Apple scheint aber ganz klar auf dem iPhone zu liegen. Und der Mac ist zur Zweitverwertungsstelle des Fachwissens geworden, das bei Apple irgendwo existiert. Und das in diesem Fall nicht zum Einsatz gekommen ist.
WIRED: Solche Fehler müssten demnach in Zukunft nicht zwangsläufig wieder auftauchen.
Nohl: Es ist sicher gut, dass es jetzt mehrere Negativ-Beispiele gibt, also Intel und Apple. Das wird jetzt viele dazu motivieren, solche Fehler zu finden. Die meisten Menschen machen das ja gutmütig, um solche Fehler auszurotten. Aber die Unternehmen müssen sich jetzt auch überlegen, wie sie das Geschehene in ihr kontinuierliches Testing aufnehmen. Vor allem sollte Apple harte Sicherheitsstufen einbauen, damit solche Sicherheitsfehler in Zukunft ausgeschlossen sind.
Dieser Text wurde mit der aktuellen Entwicklung aktualisiert.
