Über das Wochenende häuften sich Berichte rund um eine möglichere Sicherheitslücke in der Magenta TV App. Dabei werden die Sicherheitsmechanismen von macOS ausgehebelt und so eine mögliche Hintertür geöffnet. Frei nach der Werbung des Herstellers – die Deutsche Telekom treibt es ganz schön bunt.
Die Anwendung für macOS ist nicht mit einem Apple-Zertifikat entwickelt und wird dementsprechend nicht über den App Store angeboten. An und für sich ist dies nicht unbedingt ein Problem, von einem Konzern dieser Größe sollte man sich aber gewisse Standards erwarten dürfen. Die Anwendung muss direkt über die Telekom geladen werden, bei der Installation müssen im Gatekeeper dann einige Rechte eingeräumt werden. Cedric Kastner hat sich das Plugin näher angesehen und analysiert.
Es hätte so schön sein können: eine Alternative zu @Zattoo, die mir neuerdings paralleles Streaming per Sendergruppe verbieten. Aber nein: @MagentaTV verkackt schon beim Login. #Telekom #MagentaTV #ITmadeInGermany #WirSchaffenDas #Neuland pic.twitter.com/XfmTZlCGOV
— Cedric Kastner (@nurtext) November 4, 2019
Magenta TV installiert fremde Zertifikate
Die Anwendung installiert einige Plugins des Herstellers Huawei gleich mit. Mit dem Passwort “Huawei123” lassen sich beliebte Zertifikate installieren, die dann dem Unternehmen zugeordnet sind. Ebenso findet sich ein selbst-signiertes Root- und Server-Zertifikat der Telekom im Schlüsselbund von macOS.
Bye Bye App Nap und Screencapture
Als wäre es nicht genug – das Plugin deaktiviert Systemweit auch noch die Funktion App Nap. Ebenso wird das Kommadozeilentool Screencapture umkonfiguriert.
Huawei Plugin nur eine Zwischenlösung
Gegenüber der Welt hat sich die Deutsche Telekom schon geäußert – das Plugin für Huawei soll nur eine Zwischenlösung sein. An einer eigenen Lösung wird schon gearbeitet. Von der konkreten Sicherheitslücke wollte der Konzern aber nichts wissen.
