2589877

Apples M1 hat eine Sicherheitslücke – warum das egal ist

31.05.2021 | 17:13 Uhr | Stephan Wiesend

Ein erster Fehler in Apples M1-Chip wurde entdeckt, die Sicherheitslücke namens M1RACLES ist aber mehr Medienkritik als Einfallstor für Hacker.

Berichtet man als Journalist über Sicherheitslücken von Software oder Hardware, ist es oft besonders schwer, die Gefährlichkeit einer solchen Lücke einzuschätzen. Nicht immer steht eine Einstufung durch Fachleute wie CVE oder BSI zur Verfügung.  

Das ist das Problem

Auf den ersten Blick sehr gefährlich wirkte etwa die alle M1-CPUs von Apple betreffende Schwachstelle M1RACLES oder CVE-2021-30747, die der Entwickler Hector Martin letzte Woche vorstellte – auf einer eigenen Webseite. Ein Designfehler in Apples M1-Chip ermöglicht zwei Apps unter iOS oder macOS den direkten Austausch von Daten, was nach dem Sicherheitskonzept des Systems nicht möglich sein dürfte. Hardware-Fehler sind kompliziert und oft schwer zu beheben, ein wenig erinnert der Fehler wohl auch an die bekannten Sicherheitsmängel von Intel-CPUS, bekannt als „Meltdown“ und „Spectre“ .

Martin arbeitet im Rahmen des Projektes Asahi Linux an der Portierung von Linux auf die M1-Plattform und entdeckte den Fehler im Rahmen dieses Projektes. Ein Beispielprogramm wurde auf Github veröffentlicht, ein kleines Beispielvideo außerdem auf Youtube. Apple wurde informiert, der Fehler basiert allerdings auf einem Hardware-Fehler, was die Korrektur wohl unmöglich macht.

Im Grunde ist der Fehler aber doch recht harmlos, wie etwa der Blog "Naked Security" urteilt . Weder ein Jailbreak wird dadurch möglich, noch könnte eine App auf die Daten einer anderen App zugreifen. So müssten erst zwei Malware-Programme auf ein Apple-Gerät gelangen, damit diese Lücke nutzbar wäre – und dann ist diese Sicherheitslücke wohl das kleinste Problem.

Warum die Sicherheitslücke eher Medienkritik ist

Über den Fehler wurde in vielen Blogs und Medien umfangreich berichtet, allerdings wurde die Gefährlichkeit dabei oft höher eingeschätzt als eigentlich angebracht wäre. Dabei liefen aber viele Journalisten dem Entwickler in eine Falle: Wie der Entwickler in den FAQ seiner Webseite anführt (weit unten), war seine Absicht nämlich, sich mit einem Namen wie „M1RACLES“ über Nachrichtenseiten lustig zu machen: “Poking fun at how ridiculous infosec clickbait vulnerability reporting has become lately. Just because it has a flashy website or it makes the news doesn't mean you need to care.” (Ich wollte mich lustig machen, wie die Berichterstattung über Sicherheitslücken in der letzten Zeit zu Clickbaiting abdriftet. Nicht alles, was eine coole Webseite hat oder grade durch die News zirkuliert, ist relevant." Ein etwas schräger Humor, aber unter Entwicklern nicht unüblich.

Schon an Begriffen wie “covert channel” hätte man erkennen müssen, dass es sich um reine Übertreibung gehandelt habe und außerdem die komplette FAQ mit allen Details lesen sollen – so wird hier auch ausführlich erläutert, warum die Lücke wenig gefährlich ist. Selbst  im Titel findet sich bereits der Hinweis „Should you be worried? Probably not.“

Unsere Meinung:

Bei der Berichterstattung der Medien über Sicherheitslücken gibt es wohl wirklich eine Tendenz zur Übertreibung, nicht jeder Systemfehler ist in der Praxis wirklich gefährlich – und wird oft erst bekannt, wenn er behoben wurde. Die gleiche Übertreibung könnte man nach unserer Meinung aber auch manchen Sicherheitsforschern vorwerfen. So haben doch auch diese oft die Tendenz, die Gefährlichkeit „ihres“ Fehlers stark zu übertreiben und provozieren damit „Clickbait“.

Macwelt Marktplatz

2589877