Apple kommt einer von Sicherheitsforschern seit langem geäußerten Forderung nach: Künftig soll es für Experten eigene "Security Research Devices" (SRD) geben, also "offene" iPhones bei denen zentrale Sicherheitssperren deaktiviert wurden. So gibt es auf diesen Geräten über eine Shell vollen Zugriff auf das System, auch Berechtigungen können nach Belieben verändert werden. Und natürlich lassen sich externe Apps problemlos installieren – alles Dinge von denen reguläre iPhone-User kaum mehr zu träumen wagen.

Ziel dieser Initiative ist es das Aufspüren von Programmierfehlern und hier im besonderen von Sicherheitslücken zu vereinfachen. Eine erfreuliche Entwicklung also, und doch hält sich die Begeisterung in der Community darüber in Grenzen, und das liegt an den damit verbundenen Rahmenbedingungen.

Bindung

Wer über ein solches SRD eine Sicherheitslücke findet, verpflichtet sich dazu, diese an Apple zu melden, und geheim zu halten, bis Apple das "ok" zur Publikation gibt – also üblicherweise nachdem der Bug mit einer neuen iOS-Version gefixt wurde. Was manche Sicherheitsforscher aber nun verärgert: Dieses Stillschweigen ist mit keinerlei zeitlicher Frist versehen. Wenn Apple wollte, könnte es so Bugs auch monatelang geheimhalten, und die Entdecker könnten nichts dagegen tun.

Inkompatibel

Genau das ist auch der Grund, warum Googles Project Zero eine Teilnahme an Apples Programm nun öffentlich ablehnt. Diese Regelung sei nicht mit der eigenen Policy kompatibel, die eine automatische Veröffentlichung aller Sicherheitslücken nach 90 Tagen vorsieht – eben um genau so eine Verschleppung durch den Hersteller zu verhindern. Der Apple-Ansatz wirke insofern so, als sei er explizit so gewählt worden, um Unterfangen wie Project Zero auszuschließen, wie dessen Projektleiter Ben Hawkes auf Twitter mutmaßt.

Vorgeschichte

Das sei auch deswegen schade, da man schon seit mehr als fünf Jahren Druck auf Apple gemacht habe, um das Unternehmen zur Veröffentlichung eines eben solchen Geräts zu bringen. Stattdessen werde man die eigenen Analysen von iOS nun einfach auf gewohntem Wege vornehmen. Und dabei war man bisher äußerst erfolgreich. Über die Jahre hat das Project Zero mehr als 350 Sicherheitslücken an Apple gemeldet – und damit auch zur Stärkung der Softwaresicherheit am iPhone beigetragen. (apo, 23.07.2020)