Weil Apple nicht dafür bezahlt, möchte ein Sicherheitsforscher eine Lücke in macOS demnächst veröffentlichen. Damit will er auf die schlechte Behandlung von Experten durch Apple aufmerksam machen.

Apples macOS gilt zwar als recht sicher, doch wird es auch immer wieder von – teils erheblichen – Sicherheitsproblemen betroffen. Die jüngst aufgetauchten Lücken im Passwortschutz von Systemeinstellungen und die Root-Lücke sind nur die jüngsten Beispiele dafür, dass kein Code perfekt ist.

Um sich das Wohlwollen der Fachgemeinde zu erkaufen, werden die Hacker und Experten von den Unternehmen in der Regel gut entlohnt, wenn sie eine gefährliche Lücke in einem ihrer Produkte aufgespürt haben. Apple zahlt aber nur für Lücken in iOS und auch nur manchmal.

macOS-Lücke soll veröffentlicht werden

Bis zu 200.000 Dollar lässt Cupertino für einen gefährlichen Bug in iOS springen, allerdings nur, wenn der Entdecker vorher von Apple eingeladen worden war, gefundene Lücken zu melden. Ist das nicht der Fall wie bei der jüngst entdeckten Lücke in HomeKit, die die Fernsteuerung von eigenen Geräten erlaubte, ist es Essig mit der Belohnung.

Apple’s AMDRadeonX4150 kext appears to suffer from an out-of-bounds read in ring-0. Since Apple doesn’t have a macOS bug bounty program I’ve decided just to post details, first on my patreon page, then publicly on @objective_see blog #BeTheChange 🍎🤒☠️ https://t.co/oGWSjZvOdn

— patrick wardle (@patrickwardle) 17. Januar 2018

Für macOS zahlt Apple gleich gar nichts. Das alles ist dem Sicherheitsforscher Patrick Wardle so zuwider, dass er eine von ihm entdeckte Lücke in den Grafiktreibern von macOS demnächst öffentlich machen möchte. Sie kann eine Kernel Panic auslösen und das System zum Absturz bringen, vielleicht sind noch weitere Einwirkungen auf das System möglich. In macOS 10.13.2 ist die Lücke noch vorhanden.

Ob Apple sich dadurch veranlasst sehen wird, sein Gebaren zu ändern, steht allerdings dahin.

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.