Im Februar sorgte der Sicherheitsforscher Linus Henze für Aufsehen, als er eine kritische Schwachstelle im macOS-Schlüsselbund demonstrierte. Ein speziell entwickeltes Programm ist dadurch in der Lage, alle im Keychain gespeicherten Passwörter im Klartext auszulesen. Damals erklärte Henze, er wolle Details der Sicherheitslücke erst dann an Apple übermitteln, wenn das Unternehmen das sogenannte Bug-Bounty-Programm auch auf macOS ausdehne.

Im Rahmen dieses Programms zahlt Apple Prämien an diejenigen Entwickler und Forscher, die Sicherheitslücken melden - ein in der IT-Branche übliches Vorgehen. Allerdings gilt dieses Programm unverständlicherweise nur für iOS, nicht jedoch für macOS - warum dies so ist, ist bis heute Apples Geheimnis. Henze wollte mit seiner Aktion die Aufmerksamkeit auf dieses Thema lenken und stand deswegen nach eigenen Angaben mit Apple in Kontakt. Ein Bug-Bounty-Programm für macOS gibt es jedoch noch immer nicht - gleiches gilt für eine Stellungnahme von Apple dazu.

Nun erklärte Henze, dass er die Einzelheiten der entdeckten Schwachstelle trotzdem an Apple gemeldet habe, da ihm die Sicherheit von Mac-Usern am Herzen liege. Es ist anzunehmen, dass die Kalifornier die Lücke mit den nächsten Betriebssystemupdates im Laufe dieses Monats schließen werden. Betroffen sind demnach nicht nur macOS Mojave, sondern auch ältere Versionen. Da Henze die Informationen unter Verschluss hält, besteht für Anwender keine akute Gefahr (ggf. jeden Schlüsselbund manuell sperren).

Es bleibt zu hoffen, dass Apple die Entwicklerkonferenz WWDC 2019 in San Jose (findet voraussichtlich Anfang Juni statt) dazu nutzt, um das Bug-Bounty-Programm endlich auf macOS auszuweiten. Es ist schlichtweg ein Unding, dass Forscher zwar für das Melden von iOS-Lücken von Apple entlohnt werden, bei aufgespürten macOS-Schwachstellen aber leer ausgehen.