Probleme mit alternativen App Stores
iOS 17.5 stopft 15 Sicherheitslücken und verärgert Entwickler
Apple hat mit iOS 17.5 insgesamt 15 Sicherheitslücken gestopft. Was prinzipiell gut ist, muss diesmal aber mit zwei kritischen Anmerkungen versehen werden. Zum einen sorgen die Änderungen dafür, dass sich die alternativen App Stores nicht mehr problemlos nutzen lassen. Und zudem hält es Apples Sicherheitsteam nicht für nötig, dem Entdecker einer Kernel-Sicherheitslücke eine angemesse Belohnung zukommen zu lassen.
Neuer Fehler trifft EU-Nutzer
Auf das erste oben angesprochene Problem macht der Sicherheitsforscher Tommy Mysk aufmerksam. Apple hat mit iOS 17.5 einen von seinem Team gefundenen Fehler korrigiert, der im Zusammenspiel mit Apples sogenanntem MarketplaceKit das Tracking von Nutzern von alternativen App-Stores ermöglicht hat.
Holy moly!
iPhone users in the EU: DO NOT delete your alternative marketplace appsiOS 17.5 breaks alternative marketplace app re-installation. MarketplaceKit now generates a different client_id every time it is called. Now there's no way for alternative marketplace developers… pic.twitter.com/eRqKM8Tlre
— Mysk 🇨🇦🇩🇪 (@mysk_co) May 13, 2024
Apples Fehlerbehebung führt nun allerdings dazu, dass sich die in einem alternativen App-Store geladenen Apps nicht erneut installieren lassen, wenn sie gelöscht wurden. Die Nutzer erscheinen dort jetzt jeweils mit unterschiedlichen Kennungen, was deren Identifikation und damit den erneuten gebührenfreien Download von zuvor gekauften Apps verhindert.
Kernel-Schwachstelle keine Belohnung wert
Beim zweiten Kritikpunkt im Zusammenhang mit dem gestern veröffentlichten iOS-Update bleibt die Hoffnung, dass es sich hier um einen – wenn auch peinlichen – Fehler handelt.
Der Sicherheitsforscher Meysam Firouzi hat auf eine Schwachstelle hingewiesen, auf deren Basis Apps beliebigen Code mit Kernel-Privilegien ausführen konnten. Apple hat den unter der Kennung CVE-2024-27804 geführten Fehler korrigiert, hält es allerdings nicht für nötig, dem Entdecker eine angemessene Belohnung zukommen zu lassen.
C’mon Apple, iOS kernel vulnerability is not eligible for bounty? What would then be?
It could have been ended up in @DonnchaC or @jsrailton blogs. 🤦♂️ https://t.co/yJG7dw3pEe pic.twitter.com/TtDDq2OaxB— Meysam (@R00tkitSMM) May 14, 2024
Apples Sicherheitsteam hat dies mit dem Hinweis begründet, dass der Fehlerbericht die für eine sogenannte „Bug Bounty“ erforderlichen Kriterien nicht erfüllt. Gleichermaßen wird Firouzi jedoch als Entdecker dieser Schwachstelle in den Hinweisen zum Update genannt. Auf dem Schwarzmarkt hätte Firouzi vermutlich problemlos einen stattlichen Geldbetrag für den Hinweis auf diese Lücke absahnen können.
Bin ich der Einzige, der den Eindruck hat, dass der Laden zunehmend unsympathisch wird?
So ziemlich, ja
Jap. Deine Probleme
Ja.
Apple war immer schwierig, eigentlich nichts neues im Westen. Aber seit sich in Cupertino langsam ihr höchsteigenes Marketing verfängt und sie davon überzeugt scheinen, das unangefochten Gute der IT-Welt zu verkörpern und die Weisheit mit Löffeln aufgenommen zu haben, wird’s langsam schadhaft für’s Image. Fehler (Bug-Bounty) oder Anpassungen (EU) werden als „Majestätsbeleidigung“ bzw. Affront aufgefasst. Das führt in letzter Zeit vermehrt zu sehr unglücklichen und imageschädigenden Verhaltensmustern.
Jau
Jepp. An allen Ecken. Neulich hatte ich eine Frage. In der Support-App gibt es wohl keinen Chat mehr. Man wird genötigt, einen Anruf zu terminieren. Früher kamen die auf die Minute, inzwischen kommen die nicht mehr ganz so pünktlich und die Qualität des armen Callcenter-Mitarbeiters war auch mau.
Nein, bist du nicht!!!
Chat support gibt es weiterhin
Ja!
Dein Name ist anscheinend dein Programm!
Nöö!
Nein, bist Du nicht.
Steve Jobs dreht sich bestimmt im Grab um, wenn er sieht was aus seinem Laden geworden ist.
Warum sollte Apple alternative Stores unterstützen? Zulassen muss es sie ja, mehr aber auch nicht. Ich finde das ok.
Wie verblendet muss man sein, so ein Verhalten ok zu finden? Hast du Apple Aktien oder bezahlt alles noch Pappi?
Max +1
Andere Meinungen zu ertragen ist schon schlimm. Mimimi immer gleich aggressiv werden. Wer hat denn bitte keine Apple Aktien? Sind in den besten Fond’s und ETF’s enthalten und ein Muss in den letzten 15 Jahren. Genauso wie MS und NVIDIA….
Weil wir nicht mit im 18. Jahrhundert leben und und als Gesellschaft geeignet haben das wir Monopole Scheiße sind und immer nie von von Vorteil sind .. auch wenn User wie du offensichtlich keinen Plan davon haben, versuchen wir auch Dich zu schützen.
Warum sollte die EU, Apple vor weiteren Strafen nutzen. Als Quasi-Monopol dürfen sie existieren ja, an Gesetze halten muss auch Apple sich. Ich finde das nicht ok.
*schützen
Apple verhindert es doch, wenn man ohne Vorwarnung einen externen nur 1x installieren kann und danach sein Handy neu aufsetzen muss.
Solche „bugs“ werden die EU mit sicherheit interessieren, denn das zeigt ja ganz klar, dass man wieder den Wettbewerbern Steine in den Weg legt.
Das nächste mal wird der Sicherheitsforscher vermutlich direkt zu Zerodium gehen und 1-2 Million abgreifen, statt vorher zu Apple zu gehen
Darauf wird es hinauslaufen, aber das Big Bounty Programm wird greifen, sobald genug negativ Presse zum Nachteil Apples entsteht, von daher bin ich guter Dinge das er doch sein Geld bekommt.
War dann wohl wieder ein „Fehler, der hätte nicht passieren dürfen“
Bug Bounty
Das Verhalten von Apple kann ich beim besten Willen nicht nachvollziehen.
Das sind Profis. Die wissen was sie tun.
Das Unternehmen ist eindeutig zu groß geworden und agiert wie eine veraltete Behörde. Wirklich unglaublich.
Das ist schon sehr schwach/kurzsichtig, wenn von Apple destruktive Winkelzüge beim Bug-Bounty-Programm und dessen Supporter angewandt werden.
kann man ihm nach der Show nicht verübeln
Müsste man nicht für eine umfassende Meinungsbildung noch in Erfahrung bringen, welche Punkte des Big Bounty Programms nicht erfüllt waren, bevor man einfach so Unterstellungen von sich gibt?
Was? Nein du kannst doch nicht erwarten das man hier stehendes selber Überprüfung und sich eine eigene Meinung bildet. Hier wird Apple an den Pranger gestellt und da will ja jeder mitmachen.
Hab gerade Feedback zu CVE-2024-27804 gegeben… so was soll auf jeden Fall belohnt werden, ist ja nicht so dass Apple nicht genug Cash hat.
So ein armes Unternehmen kann doch nicht einfach jeden belohnen, der einen Fehler findet. Der Bankrott würde sofort eintreten ;-)
Wer den Sarkasmus findet, darf ihn behalten!
Müsste man nicht für eine umfassende Meinungsbildung noch in Erfahrung bringen, welche Punkte des Big Bounty Programms nicht erfüllt waren, bevor man einfach so Unterstellungen von sich gibt?
Du hast aber schon eine vage Ahnung davon, was eine ausnutzbare Lücke im Kernel bedeutet?
Falls nicht, kannst Du Dir die Fairness-Attitude schenken – speziell bei Apple.
Dieses Verhalten ist auch erst seit 2012 symptomatisch …
Es geht mir darum, dass wir nicht wissen, welche Punkte des Bug Bounty Programms er angeblich nicht erfüllt haben soll. Wäre das nicht vlt. nützlich, bevor man wieder die große Hass-Runde ausruft?
Nein, denn es geht ja gerade darum das Apple mit dem Bug Bounty Programm nur spezielle Themen belohnt. Hier wurde ein tiefgreifenderes Problem im Kernel aufgedeckt, was nicht extra als Einzelthema aufgeführt wird und alle speziellen Themen befallen kann, und deshalb nicht belohnt wird.
Normalerweise ist sowas eher die Art von Trickbetrügern, die mit doppeltem Boden oder über das Kleingedruckte in die Falle locken. Nicht gerade die netteste Art mit so einem nützlichen Melder umzugehen…
Apple zerschießt komischerweise immer solche Dinge, die etwas Minus in die Bilanz bringen. Ihre eigenen Zuordnungen und Zahlungsmethoden, sowie Abokosten werden immer Punkt genau abgebucht und funktionieren immer.
Ein Schelm wer böses denkt.
Tim bleibt kurzsichtig. Er macht aus Apple ein zweites Boeing.
Da gibt es aber große Unterschiede.
Niemand stirbt durch ein iOS Update
Ah… wenn maps dir sagt links abbiegen und die Straße endet wegen gründen….
Ach Daniel. Das kannst du besser
@daniel: ich hoffe du schaust noch vorher wo du hinfährst oder fährst du mit geschlossenen Augen?
Joa, das sicherlich nicht. Ich weiß natürlich nicht, wie Ihr Leben aussieht, aber in meinem Alltag bin ich zumindest auf ein funktionierendes Iphone angewiesen (Banking, Mail, 2FA, Kommunikation (beruflich und privat)). Also nein, sterben wird sicherlich niemand, ich hätte aber durchaus einen erheblichen Aufwand wenn das Ganze seinen Geist aufgibt ;-)
Unsinn. Das ist nicht nur übertrieben sondern deutlich falsch
Belohnen. Von was? Apple verdient gerade das nötigste was es braucht. Also immer schön …
Finde ich auch. Am besten das Big Bounty Programm einstellen und Sicherheitslücken offen lassen, das schützt auch die Privatsphäre des Meldenden der in der Update Beschreibung auftaucht
Bug Bounty
Bei Integer halt immer Big Bounty … kannst du noch so oft korrigieren …
Armselig, insbesondere hier.
Apple ist eineNPO, wusste ich garnicht
Kindisch, wie Apple immer wieder versucht, die EU Regulierung zu boykottieren. Peinlich – und potenziell teuer: Die EU kann Bußgelder bis zu 10 % im Wiederholungsfall 20 % des Vorjahresumsatzes verhängen, d.h. bis zu 18 Mrd. Euro.
18 Milliarden sind Peanuts. Es sind nämlich 10% des **weltweiten** Jahresumsatzes. Also 35 Milliarden Euro, im Wiederholungsfall 70 Milliarden. Apple hatte letztes Jahr 383 Milliarden Dollar Umsatz.
Ich glaube, dass so einige Forennutzer hier glauben, dass ihr kleiner Boykott „dann kaufe ich dieses Jahr eben kein neues iPad“ von Apple auch nur bemerkt wird. Diese Firma setzt an jedem einzelnen Tag mehr als eine Milliarde Dollar um, das haben sich viele noch immer nicht klar gemacht. Einzelne Nutzer sind da völlig unbedeutend.
PS: du beziehst Dich vermutlich auf die rund 90 Millarden Umsatz, die immer wieder in Meldungen auftauchen, das ist aber nur der Umsatz pro Quartal… :-)
Wäre für ein neuen jb besser gewesen :-)
Das ist der Laden schon lange.
Warum soll man Apple helfen selbst wenn man als Betatester denen hilft gibt es nichts, nicht mal ein Danke
Wie kann man nur so unsympathisch sein. Da fehlen mir einfach nur die Worte. Vielleicht sollte die EU die Zerschlagung prüfen – Software von Hardware trennen.
Sicher. Die EU soll ein US Unternehmen zerschlagen. Wenn Apple entscheiden würde, keine Produkte in der EU anzubieten, wer wird wohl mehr weinen?
Ja, natürlich würde die EU eine Zerschlagung Apples nicht bewerkstelligen können. Richtig. Aber Dein Einwand ist genauso an den Haaren herbeigezogen. Apple könnte 25 % Umsatzverlust nicht verkraften. Insofern: viel heiße Luft, die Ihr da produziert.
Einige Apple Jünger und Apple, erst fällt die EU und dann China – natürlich kann das die EU! Apple hat auch nicht geglaubt, dass der App-Store fällt.
Das kann durchaus noch kommen, die EU hat noch viel vor, z.B. Messenger Verschlüsselung verbieten, Backdoors in Software für Überwachung, Vorratsdatenspeicherung, Auslesen der Daten einens Mobile Device ohne das Gerät knacken zu müssen, der Rat der EU-Staaten will Staatstrojaner-Überwachung gegen Journalist erlauben, ach ja und noch Gentechnikprodukte ohne Kennzeichnung.
Viele Politiker in Brüssel sind begeistert, dass so viele Nutzer von der App Store Öffnung begeistert sind. Der erste Schritt ist gemacht, aah da geht noch mehr und ist ja schließlich NUR für den Verbraucher.
Übrigens soll soll die https://eu-careers.europa.eu einige Programmierer für „Schutzsoftware“ gesucht haben.
…. Staatstrojaner????? – wer weiß.
Das klingt mir nach jailbreak exploit :o
Und macht 15 neue Lücken wieder auf
Wer nutzt schon die Alternativen Stores?
Seit iOS 17.5 sind in HomeKit alle meine mühevollen eingerichteten Szenen verschwunden. Werde wohl ein früheres BackUp einspielen müssen. Hoffentlich klappt’s….