Software hat Schwachstellen. Und es sind nicht immer die Entwickler selbst, die sie finden. Die meisten Konzerne betreiben deshalb ein sogenanntes Bug-Bounty-Programm, mit dem Menschen für das Auffinden von Sicherheitslücken belohnt werden. Dem US-amerikanischen Studenten Ryan Pickren brachte das nun 100.500 Dollar ein – indem er Apple bewies, dass gehackte Mac-Webcams das gesamte Gerät angreifbar machen.

Grund soll eine Reihe von Problemen mit dem Safari-Browser und der iCloud gewesen sein, berichtet "Appleinsider". Sie wurden inzwischen behoben. Für einen erfolgreichen Angriff musste über eine eigens eingerichtete Webseite auf ein Pop-up-Fenster geklickt werden, schreibt Pickren auf seinem Blog. Das habe ihm vollen Zugriff auf alle Webseiten gegeben, die das Opfer jemals besucht hat: "Das bedeutet, dass meine Wanze nicht nur die Kamera einschalten, sondern auch Ihre iCloud-, Paypal-, Facebook- und Gmail-Konten hacken kann", heißt es weiter.

Nicht nur die Webcam

Laut den Berichterstattern hätte die Schwachstelle möglichen Angreifern im nächsten Schritt außerdem Zugriff auf das gesamte Dateisystem eines Geräts verschaffen können. Möglich sei das wegen der Webarchiv-Dateien von Safari gewesen, die der Browser anstatt HTML für das lokale Abspeichern von Webseiten nutzt.

Mit diesen sei es möglich, den Webursprung herauszufinden, "an dem der Inhalt gerendert werden soll", schreibt Pickren: "Das ist ein großartiger Trick, um Safari den Kontext der gespeicherten Website wiederherstellen zu lassen." Sollte es einem Angreifer gelingen, diese Webarchiv-Dateien zu verändern, mache das das gesamte Gerät angreifbar.

Rekordsumme

Für das Aufdecken der Sicherheitslücke hat Apple dem Studenten nun 100.500 Dollar bezahlt und somit 500 Dollar mehr als in bisherigen Fällen, berichtet "Appleinsider". Maximal vergibt das Unternehmen eine Belohnung von einer Million Dollar. Eine volle Auflistung findet sich hier. (red, 26.1.2022)