Lücken veröffentlicht

Frustrierter Security-Experte rechnet mit Apple ab

Digital
26.09.2021 17:18

Ein IT-Sicherheitsforscher, der Lücken in Apples iPhone-Betriebssystem iOS entdeckt und gemeldet hat, von dem Computerkonzern aus Kalifornien aber monatelang ignoriert wurde, rechnet jetzt mit Apple ab. Er hat gleich drei Schwachstellen in iOS 15 veröffentlicht und beklagt, dass Apple, obwohl seit Monaten im Bilde, diese nicht abgedichtet und letztlich ein unsicheres Betriebssystem veröffentlicht habe.

Das berichtet das IT-Nachrichtenportal „The Register“ unter Berufung auf den IT-Sicherheitsforscher, der unter dem Pseudonym „IllusionOfChaos“ auftritt. Er hatte eigenen Angaben zufolge Anfang März vier Sicherheitslücken in Apples iOS-Betriebssystem entdeckt und sie dem Konzern gemeldet. Normalerweise werden die Lücken in so einem Fall geschlossen und der Finder wird im Zuge des „Bug Bounty“-Programms für seinen Fund entlohnt.

In seinem Fall habe Apple allerdings im letzten halben Jahr lediglich eine der vier Lücken geschlossen und dies nicht einmal kommuniziert. Die anderen drei Lücken habe man unter den Tisch fallen lassen und Anfragen dazu ignoriert, klagt der IT-Experte. Nach Ablauf einer Frist von sechs Monaten, in der Apple die Lücken stopfen hätte können, ging er nun an die Öffentlichkeit und postete die Lücken auf einem russischen IT-Security-Blog und Twitter.

Lücken ermöglichen Zugriff auf persönliche Daten
Die entdeckten Sicherheitslücken erlauben Cyberkriminellen unter Umständen, auf persönliche Daten von Apple-Nutzern zuzugreifen: Apple-IDs, E-Mail-Adressen, Namen und Kontakte seien in Gefahr. Eine der Lücken erlaubt es, auszuspähen, welche Apps jemand auf seinem iPhone nutzt. Eine andere Lücke ermöglicht Manipulationen der WLAN-Verbindung.

Auch die bereits gestopfte Sicherheitslücke hätte Angreifern Zugriff auf sensible Informationen gewährt - bis hin zu medizinischen Daten und Informationen zur Gerätenutzung. Das zeige die Scheinheiligkeit von Apple. „Diese Daten werden gesammelt und sind für Angreifer zugänglich, selbst wenn der Nutzer die ‚Share Analytics‘-Funktion deaktiviert“, so der Forscher.

Nach Veröffentlichung der Lücken kontaktierte Apple den Sicherheitsforscher. Laut „Bleeping Computer“ untersuche man die Schwachstellen immer noch und suche nach einer Lösung, um diese abzudichten. Man sei dankbar für die Meldung der Lücken und entschuldige sich für die Verzögerung.

Schwachstellen wurden bestätigt
Andere IT-Sicherheitsforscher haben die entdeckten Schwachstellen bereits untersucht und bestätigt, dass iPhones angreifbar sind. Allerdings seien Angriffe, die eine der entdeckten Schwachstellen ausnutzen, nicht einfach: Der Angreifer müsste zuerst eine entsprechend präparierte App, vorbei an Apples Sicherheitsüberprüfung, in den App Store einschleusen. „Die größere Erkenntnis für mich ist, dass Apple iOS mit bekannten Fehlern veröffentlicht“, sagt der IT-Experte Patrick Wardle. „Es ist ja nicht so, dass Apple nicht die Ressourcen oder das Geld hätte, um das zu korrigieren.“

Bei „The Register“ wird berichtet, dass „IllusionOfChaos“ nicht der erste IT-Security-Experte sei, der an Apples Bug-Bounty-Prozess verzweifelt. Während das Programm durchaus auch von einigen Sicherheitsforschern gelobt werde, berichten andere, dass von ihnen entdeckte Lücken nicht abgesichert wurden und die Entwicklung von Patches versandet sei. IT-Experte Jeff Johnson im Juli 2020: „Wenn man mit Apples Product-Security-Abteilung spricht, ist das, als würde man mit einer Ziegelwand reden.“

Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.

(Bild: krone.at)
(Bild: krone.at)
Kreuzworträtsel (Bild: krone.at)
(Bild: krone.at)



Kostenlose Spiele