26.09.2021 17:18 |

Lücken veröffentlicht

Frustrierter Security-Experte rechnet mit Apple ab

Ein IT-Sicherheitsforscher, der Lücken in Apples iPhone-Betriebssystem iOS entdeckt und gemeldet hat, von dem Computerkonzern aus Kalifornien aber monatelang ignoriert wurde, rechnet jetzt mit Apple ab. Er hat gleich drei Schwachstellen in iOS 15 veröffentlicht und beklagt, dass Apple, obwohl seit Monaten im Bilde, diese nicht abgedichtet und letztlich ein unsicheres Betriebssystem veröffentlicht habe.

Das berichtet das IT-Nachrichtenportal „The Register“ unter Berufung auf den IT-Sicherheitsforscher, der unter dem Pseudonym „IllusionOfChaos“ auftritt. Er hatte eigenen Angaben zufolge Anfang März vier Sicherheitslücken in Apples iOS-Betriebssystem entdeckt und sie dem Konzern gemeldet. Normalerweise werden die Lücken in so einem Fall geschlossen und der Finder wird im Zuge des „Bug Bounty“-Programms für seinen Fund entlohnt.

In seinem Fall habe Apple allerdings im letzten halben Jahr lediglich eine der vier Lücken geschlossen und dies nicht einmal kommuniziert. Die anderen drei Lücken habe man unter den Tisch fallen lassen und Anfragen dazu ignoriert, klagt der IT-Experte. Nach Ablauf einer Frist von sechs Monaten, in der Apple die Lücken stopfen hätte können, ging er nun an die Öffentlichkeit und postete die Lücken auf einem russischen IT-Security-Blog und Twitter.

Lücken ermöglichen Zugriff auf persönliche Daten
Die entdeckten Sicherheitslücken erlauben Cyberkriminellen unter Umständen, auf persönliche Daten von Apple-Nutzern zuzugreifen: Apple-IDs, E-Mail-Adressen, Namen und Kontakte seien in Gefahr. Eine der Lücken erlaubt es, auszuspähen, welche Apps jemand auf seinem iPhone nutzt. Eine andere Lücke ermöglicht Manipulationen der WLAN-Verbindung.

Auch die bereits gestopfte Sicherheitslücke hätte Angreifern Zugriff auf sensible Informationen gewährt - bis hin zu medizinischen Daten und Informationen zur Gerätenutzung. Das zeige die Scheinheiligkeit von Apple. „Diese Daten werden gesammelt und sind für Angreifer zugänglich, selbst wenn der Nutzer die ‚Share Analytics‘-Funktion deaktiviert“, so der Forscher.

Nach Veröffentlichung der Lücken kontaktierte Apple den Sicherheitsforscher. Laut „Bleeping Computer“ untersuche man die Schwachstellen immer noch und suche nach einer Lösung, um diese abzudichten. Man sei dankbar für die Meldung der Lücken und entschuldige sich für die Verzögerung.

Schwachstellen wurden bestätigt
Andere IT-Sicherheitsforscher haben die entdeckten Schwachstellen bereits untersucht und bestätigt, dass iPhones angreifbar sind. Allerdings seien Angriffe, die eine der entdeckten Schwachstellen ausnutzen, nicht einfach: Der Angreifer müsste zuerst eine entsprechend präparierte App, vorbei an Apples Sicherheitsüberprüfung, in den App Store einschleusen. „Die größere Erkenntnis für mich ist, dass Apple iOS mit bekannten Fehlern veröffentlicht“, sagt der IT-Experte Patrick Wardle. „Es ist ja nicht so, dass Apple nicht die Ressourcen oder das Geld hätte, um das zu korrigieren.“

Bei „The Register“ wird berichtet, dass „IllusionOfChaos“ nicht der erste IT-Security-Experte sei, der an Apples Bug-Bounty-Prozess verzweifelt. Während das Programm durchaus auch von einigen Sicherheitsforschern gelobt werde, berichten andere, dass von ihnen entdeckte Lücken nicht abgesichert wurden und die Entwicklung von Patches versandet sei. IT-Experte Jeff Johnson im Juli 2020: „Wenn man mit Apples Product-Security-Abteilung spricht, ist das, als würde man mit einer Ziegelwand reden.“

Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Donnerstag, 21. Oktober 2021
Wetter Symbol