iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 613 Artikel

3 "Zero-Day-Lücken" in iOS 15 benannt

Sicherheitsforscher: Apple ignoriert Meldungen über Schwachstellen

Artikel auf Mastodon teilen.
63 Kommentare 63

Apple sieht sich mit harscher Kritik von Sicherheitsforschern konfrontiert. In einem Blog-Beitrag wirft ein unter dem Pseudonym „illusionofchaos“ auftretender Sicherheitsforscher dem Unternehmen vor, nicht auf die Meldung von vier Sicherheitslücken reagiert zu haben.

Es ist nicht das erste Mal, dass Apple wegen fehlender Kooperationsbereitschaft von unabhängigen Sicherheitsforschern kritisiert wird. Schon in der Vergangenheit wurde Apple vorgeworfen, entweder gar nicht oder verspätet auf die Meldung von Softwarefehlern zu reagieren, sowie dergleichen nicht entsprechend zu honorieren. In die gleiche Kerbe schlägt nun der aktuelle Bericht.

Bild

Collage: illusionofchaos

Apple wurde demanach im Zeitraum zwischen dem 10. März und dem 4. Mai über insgesamt vier Sicherheitslücken in iOS informiert. Drei davon seien auch in der aktuellen Version von iOS 15 noch vorhanden, lediglich eine davon wurde mit iOS 14.7 beseitigt. Allerdings habe Apple diese Fehlerbehebung in den Informationen zum Sicherheitsinhalt des Updates nicht erwähnt. Darauf angesprochen hätte sich das Unternehmen auf ein Versehen berufen und zugesichert, dass die Information nachgereicht werden, was bis heute nicht geschehen sei.

Auf eine erneute Anfrage hat Apple dem Bericht zufolge nicht mehr geantwortet und auch nichts weiter gegen die drei verbliebenen Sicherheitslücken unternommen. Infolgedessen hat sich der Sicherheitsforscher nun dazu entschieden, die Details diesbezüglich offenzulegen, um zusätzlichen Druck gegenüber Apple aufzubauen. Die Veröffentlichung ist mit den international anerkannten Richtlinien zur verantwortungsvollen Offenlegung von dergleichen konform, zumal letztendlich deutlich mehr als 90 Tage vergangen sind, seit Apple erstmals diesbezüglich informiert wurde.

Bei den drei hier veröffentlichten iOS-Sicherheitslücken handelt es sich keinesfalls um Oberflächlichkeiten, so wird beispielsweise beschrieben, wie jede aus dem App Store installierte Anwendung ohne Autorisierung durch den Nutzer auf Daten wie dessen E-Mail-Adresse und Name zugreifen kann sowie Lesezugriff auf verschiedene Systembestandteile erhält, darunter etwa eine Liste mit Kontakten aus Messaging- und Mail-Apps.

Wir hatten bereits mit Blick auf die letzten Sicherheitsupdates von Apple erwähnt, dass sich das Unternehmen zunehmend im Visier von Angreifern befindet. Angesichts dessen sollte sich Apple für derartige Hinweise nicht nur erkenntlich zeigen, sondern die Fehler auch schnellstmöglich beheben. Treffen die Anschuldigungen zu, so setzt der Konzern die Privatsphäre seiner Nutzer ohne Not nicht kalkulierbaren Risiken aus.

24. Sep 2021 um 20:46 Uhr von chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    63 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ja ist ’n OS Problem, aber ärgerlich wenn du heute ein neues iPhone kaufst und damit direkt konfrontiert bist, kaum auszumalen mal wieder.

      • Na komm schon, da kommst alleine drauf!

        Weißt Du wieviele Leute, auch von mir, gesagt bekommen „Kau‘ Dir kein Android Smartphone, ist viel zu unsicher“?
        Und dann bringt Apple, ohne Not, aufgrund seiner mehr als allzu bekannten Ignoranz/Arroganz heraus ständig so’ne Klopper?

        Ich finde es toll, dass es Apple geschafft hat, als Nummer 4 in der Welt, wenn es um Absatzzahlen bei Smartphones geht, den größten Gewinn zu erwirtschaften.
        Aber der Gewinn wird auch erwirtschaftet, weil wir Apple Smartphones kaufen, weil Apple Versprechen bezüglich der Sicherheit/Schutz der Privatsphäre macht, die nachweislich falsch sind. Und es kommen in letzter Zeit öfter solche Infos ans Licht.

        Auch die neuesten Infos werden mich nicht daran hindern ein Apple 14 zu kaufen (das Apple 13 ist eher ein 12s und das lohnt sich für mich einfach nicht).
        Trotz allem bleibt ein ungutes Gefühl.

        Ah, b4 jetzt Sprüche kommen, wie Kauf‘ Dir doch ein Samsung … Muss ich nicht, weil, hab ich schon! Bin super zufrieden damit! Danke!

  • Es wird Zeit, dass Softwarekonzerne für Fehler in Ihrer Software haftbar gemacht werden!

  • Ach Apple… :-/ Ich hatte mich schon mehrmals gewundert, warum Apps ohne Nachfrage auf die Fotos zugreifen können…

  • Ich verstehe einfach nicht, warum Apple so handelt beziehungsweise nicht handelt. Es wird wohl keine Böswilligkeit sein, schlechte Organisation?

    • der wahre Klaus

      Ne, Schei.laden! Irgendwann wird es ihnen das Genick brechen.

    • Die Komplexität heutiger Systeme ist von niemandem mehr vollständig beherrschbar.

      Was allerdings nicht entschuldigt, wie Apple mit derartigen Hinweisen umgeht. Sie sollten doch froh sein, dass jemand das meldet, anstatt es an NSO zu verkaufen.

    • Vielleicht würde eine solche App gar nicht erst durch die Zulassung kommen – dann würde es nur Apps die über ABM in den Firmen verteilt werden betreffen.

      • Wer lesen kann, ist klar im Vorteil!
        Jede App! Das sind bislang normale Zugriffsrechte.

      • Dann zeige mir mal wo da steht das Apps die diese Befehle beinhalten auch zugelassen werden! Jede App heißt lediglich das keine gesonderten Rechte vom Besitzer dafür eingeholt werden müssen oder sie sonst wie etwas besonderes sein muss.

      • Selbst als völlig verblendeter Apple Fanboy, muss Dir doch in letzter Zeit zu Ohren gekommen sein, dass es Apple mit den Kontrollen bei der Zulassung von Apps nicht allzu genau nimmt. Einige Abzocker-Apps wurden/werden sogar von Apple explizit beworben (auch hier auf iFun nachzulesen, aber sowas blendet man ja aus).

    • Schlechte Organisation ist auch eine Art von Böswilligkeit..
      wie blöd muss man sein freiwillig gemeldete Bugs zu ignorieren.

    • Apple hatte schon früher eine arrogante Art der Ignoranz drauf! Ich weiß, dass das sehr unpopulär ist! Aber es ist eben auch ein Fakt.

  • Apple sitzt auf einem hohen Roß. Wenn wir alle am 11.11.2021 auf der ganze Welt nichts bei Apple einkaufen würden.das würden die merken. Kein Geld eingang die Aktien würden fallen. Dann würde die die Kunden auch wieder als Kunden wieder wahrnehmen

    • Und ich würde an dem Tag Aktien kaufen, weil am 12.11. dann alle nachkaufen :-)

      • Na ja kein Unternehmen gibt es ewig und irgendwann macht Apple auch den Nokia oder Kodak..

        und es ist ja jetzt auch nicht so als wenn Apple nicht schon einmal 6 Wochen vor der Pleite stand.
        (in den 80″ hat auch keiner gedacht.. das)

        Die Frage ist nicht ob Apple irgendwann so Innovationslos, träge und „Überheblich“ wird das ein anderer sie ablöst ..sondern wann..

        Aber sie abarbeiten inzwischen ganz ordentlich am Untergang.. was soll auch bei einem Bleistiftanspitzer wie Tim bei rausgekommen.. wenn der nächste CEO wieder ein Bleistiftanspitzer wird.. na dann gute Nacht.

    • Super Idee… shoppe ich halt am 12.11…. Apple wird sich ganz gewaltig ärgern.

      • Ich glaube, du hast seinen Kommentar nicht verstanden.

      • vermutlich hat er ihn schon verstanden, aber es interessiert ihn nicht. Bewusstes ignorieren? Dann passt er ja perfekt zu Apple ;)

    • Macht das mal, dann kaufe ich danach das doppelte an Apple Aktien als sonst.

  • marius müller westerwelle

    Das sind einfach Lücken die für staatstrojaner und Ähnliches vorgehalten werden. Machen wir uns nix vor, hier in DE sind wir zwar noch recht geschützt. In den USA haben die Behörden jedoch viel mehr Rechte und Gesetze auf ihrer Seite. Irgendwie muss Apple das halt mit seinem Marketing überein bringen. Da lässt man lieber „das schließen von Schwachstellen schleifen“ anstatt hier einfach mal zu sagen „Jo, wir müssen halt auch im Westen regeln befolgen“

    • Klar, wir in installieren uns den Staatstrojaner in App-Store selbst. Lies doch nochmal den Artikel, damit Du weißt um welche Lücken es hier geht.
      Die Frage die ich mir stelle: Kann die Lücke tatsächlich ausgenutzt werden, oder würde eine solche App gar nicht erst in den AppStore gelangen – denn wenn Apple das beim Zulassungsprozess kontrolliert, dann wäre es zwar eine theoretische Lücke, die aber nicht ausgenutzt werden kann.

    • Warum sollten wir besonders geschützt sein? Wenn ich Geheimdienst wäre und mich inländisches Recht hindert tätig zu werden, dann arbeite ich einfach unter dem Radar mit ausländischen Geheimdiensten zusammen. Die werden sich einen Teufel um deutsches Recht kümmern.

      • Völlig richtig und zutreffend. Deshalb kommen die Tipps zu geplanten Attacken in Deutschland und Tätern in Deutschland immer von Partnerdiensten (siehe auch zuletzt Hagen). Wir hingegen machen das Gleiche für die Partner in deren Ländern. Alles gesetzeskonform.

    • Du scheinst zu vergessen das unsere Daten von Apple in den USA und China gespeichert werden! Da sind deutsche Gesetze vollkommen uninteressant. Alle Daten in der Cloud gehören dir nicht mehr, was da in irgendeinem Gesetz steht interessiert keine Sau. Die meisten wollen das aber einfach nicht wahr haben.

      • marius müller westerwelle

        Da hast du recht. Der Hinweis war auch eher an die „ja hier passiert schon nix“ Kandidaten gerichtet

  • ☢︎
    Gleich 3 Zero-Day Exploits für iOS-15 inklusive PoC-Code veröffentlicht!
    Alter das ist wie Weihnachten für NSO und Co.
    Könnte man eventuell auch einen Jailbreak draus basteln, interessant.

  • Ich kann dieses Verhalten einfach nicht begreifen. Ich meine Apple ist eines der reichsten Unternehmen der Welt. Der paar Kröten für das Bug Bounty Programm dürften die also nicht im geringsten jucken. Außerdem machen sie ja noch offensiv Werbung mit „Sicherheit & Privacy“.
    Jedes mal wenn ein solcher Bericht rauskommt, schadet das dem Image und ist eigentlich eine PR Katastrophe.
    Apple müsste sich doch ohne mit der Wimper zu zucken ne 100 Mann starke Abteilung leisten können, die sich 24/7 nur um das fixen von Sicherheitslücken kümmert.

    Die einzige Erklärung für das Verhalten ist für mich eine Kooperation mit den amerikanischen Geheimdiensten. Man lässt diese Lücken also bewusst so lange wie möglich bestehen, um zukünftige Konflikte mit FBI, NSA und Co zu vermeiden. Daher verschlüsselt man vermutlich auch die iCloud noch nicht Ende zu Ende.
    Einfach nur armselig und traurig.

  • Google und Co kümmern sich aber auch nicht sofort um ihre Sicherheitslücken. Oder irre ich da ?

  • Die Sicherheitslücke liest sich wie wenn man die tatsächlich für gewisse Organisationen weiter offen hält. Wenn ich mir dann noch die schöne neue Scanfunktion für Bilder mit offener Sicherheitslücke vorstelle. Gegen DSGVO dürfte die Sicherheistlücke auch verstoßen. Nur wenn juckst? Wo kein Kläger da kein Richter. Apples Sicherheit war einmal.

    • Weil jemand die AppleID und die Emailadresse erfährt? Erst mal bezweifle ich, dass es eine App die das versucht überhaupt in den AppStore schafft.
      Außerdem wollen doch viele, dass die AppStore Klagen Erfolg haben werden, dann musst Du diese Daten jedem Appanbieter geben um eine App noch nutzen zu können.

  • Apple ist in dem Punkt der demokratischste Laden der Welt. 99,8% der Nutzer interessiert nicht die Bohne, ob jemand böswillig an Photos, Kontakte etc. gelangen könnte……weil sie all diese und noch viele andere Daten eh freiwillig bei Zuckerberg, Google und Co. abgeben……

  • In Sachen Privat Daten hatte ich bei Apple noch nie Vertrauen gibt’s bei mir auch keine Cloud.

  • Mensch dit is ja wie bei mir im Betrieb.
    Probleme die nicht benannt werden existieren auch nicht.
    Und jetzt setzen alle bitte ihre Scheuerklappen auf.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38613 Artikel in den vergangenen 6284 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven