Gern betont Apple den Fokus auf die Sicherheit der eigenen User. Interne Mails legen nun aber nahe, dass es auch hier Grenzen gibt.

Foto: Matthias Schrader / AP

Wie der Rechtsstreit zwischen Apple und Epic Games rund um die App-Store-Regeln ausgeht, ist derzeit noch offen. Was aber jetzt schon klar ist: Das Verfahren hat jede Menge interessante Dokumente an die Öffentlichkeit befördert. Darunter auch interne E-Mails, die ein wenig positives Licht auf Apples Umgang mit der Sicherheit von iPhone-Nutzern werfen, wie Arstechnica berichtet.

Hintergrund

Der September 2015 brachte den wohl schlimmsten Hackerangriffe in der Geschichte des iPhones: Die Geräte von rund 128 Millionen Nutzern des Apple-Smartphones wurden damals mit Schadsoftware infiziert. Und zwar einer, die sie direkt über den App Store bekommen haben. Den Angreifern war es gelungen, über eine infizierte Version der Entwicklungsumgebung XCode Spionagesoftware in eine Vielzahl an sich legitimer Apps einzuschmuggeln. Ursprünglich wurde die Zahl der betroffenen Apps auf rund 40 geschätzt, schlussendlich sollen es aber tausende Programme gewesen sein, die solcherart unterwandert wurden.

Während das Unternehme damals öffentlich vor allem darum bemüht war, die Schuld auf die Entwickler der betroffenen Apps zu schieben – immerhin hatten diese XCode nicht nur aus inoffiziellen Quellen heruntergeladen, sondern auch noch diverse Sicherheitssperren umgangen –, zeigen die Mails, dass man sich durchaus des Umfangs des Problems bewusst war, sich aber offenbar bewusst dagegen entschied, die betroffenen Nutzer gezielt zu informieren.

Diskussion

Ausgelöst wurde die Diskussion von einem Apple-Manager, der angesichts des Ausmaßes des Vorfalls die Frage aufwarf, ob es nicht angebracht wäre, die Betroffenen via Mail zu informieren. Doch die Diskussion verlief offenbar im Sand, eine entsprechende Aussendung gab es jedenfalls nie. Stattdessen wurde später ein – mittlerweile gelöschter – Blogeintrag veröffentlicht, den aber wohl viele der Betroffenen nie gesehen haben.

Einen im Nachhinein etwas seltsam klingenden Hinweis dafür, warum Apple dieses Mail schlussendlich nicht verschickt hat, gibt es auch. So entspann sich eine Diskussion darüber, dass es schwer wäre, die User in der richtigen Sprache anzuschreiben, da das Problem ja global auftrat. Dass dies wirklich der ausschlaggebende Faktor für die Entscheidung von Apple war, scheint aber unwahrscheinlich. Endgültig klären lässt sich dies aber so einfach nicht mehr, immerhin ging die Mail-Diskussion nicht mehr weiter, die Frage dürfte also im direkten Gespräch entschieden worden sein.

Alles relativ

Auch wenn das Ganze wohl einer der schlimmsten Malware-Vorfälle der Smartphone-Geschichte war, muss betont werden, dass Apple mit einer solch mangelhaften Informationspolitik nicht allein dasteht. So sieht sich auch Google bei der Auslieferung von mit Schadsoftware infizierten Apps über den Play Store nicht in der Pflicht, eine solch direkte Warnung vorzunehmen. Rechtlich gesehen schiebt man hier die Verantwortung gern auf die jeweiligen App-Hersteller selbst ab. (apo, 11.5.2021)