Apple und Sicherheit: Ein schwieriges Thema.

Foto: ANDREW KELLY / REUTERS

Apple ist für vieles bekannt – für sein gutes Verhältnis zu Sicherheitsforschern aber eher nicht. Immer wieder kommt aus dieser Ecke scharfe Kritik an dem iPhone-Hersteller. Während andere große Softwarehersteller offensiv mit Experten aus diesem Bereich zusammenarbeiten, kommuniziere Apple kaum bis gar nicht – und wenn dann oft sehr langsam. Einem der davon Betroffenen scheint angesichts dieser Situation nun die Kragen geplatzt zu sein.

Zero-Days

Ein unter dem Pseudonym "illusionofchaos" agierender Sicherheitsforscher hat mehrere bislang unbekannte Lücken in Apples mobilem Betriebssystem iOS öffentlich gemacht. Die Beweggründe für dieses ungewöhnliche Vorgehen fasst er in einem öffentlichen Posting zusammen, und sie passen gut in ein einzelnes Wort: Frust. Und zwar Frust über Apple Security Bounty Programm.

Bug Bountys, wie man sie nicht macht

Dieses ist eigentlich dazu gedacht, damit Sicherheitsforscher Lücken direkt – und im Geheimen – an Apple melden können. Im Gegenzug gibt es eine Prämie zur Belohnung – je nach Schwere der gefundenen Probleme fällt diese unterschiedlich hoch aus. Ähnliche Programme gibt es bei vielen anderen Softwareherstellern schon länger. Apple war hier vergleichsweise spät an der Reihe, doch auch mit der Umsetzung scheint man hinter der Konkurrenz herzuhinken.

So berichtet der Forscher davon, dass er dieses Jahr bereits vier Sicherheitslücken an Apple gemeldet hat. Die erste davon wurde auch tatsächlich geschlossen – und zwar in iOS 14.7. Es handelte sich dabei um einen aus einer Privacy-Perspektive besonders unangenehmen Fehler. Hätten doch sämtliche Apps ohne zusätzliche Berechtigungen Analysedaten auslesen können – inklusive medizinischer Informationen, die von einer Apple Watch aufgezeichnet werden.

Apple schloß die Lücke zwar, "vergaß" dies aber in den zugehörigen Warnhinweisen zu erwähnen. Gegenüber dem Forscher betonte man, dass es sich um ein Versehen handle, und dies bei einer späteren Version nachgeholt werde. Doch auch in den Sicherheitsnotizen zur iOS 14.8 und 15.0 wurde das Thema weiter verschwiegen. Zudem gilt der von dem Forscher geöffnete Bug intern bei Apple noch immer nicht als bestätigt – womit es auch keine Prämie für den Entdecker gibt.

Bitte zugreifen

Doch es gibt eben noch drei weitere Sicherheitslücken, die "illusionofchaos" dieses Jahr bei Apple gemeldet hat. Nachdem Apple hier zuletzt auf Nachfragen nicht mehr reagierte, beschreitet der Forscher nun einen umstrittenen Weg: Er hat die Lücken einfach öffentlich gemacht, um den Druck auf Apple zu erhöhen, und auch Aufmerksamkeit für das Problem zu schaffen.

Die schwerste dieser drei Zero-Day-Lücken betrifft dabei Apples Game Center, auch hier gibt es wieder ein Datenleck: Beliebige Apps können ohne Bestätigung der Nutzer deren vollen Namen sowie ihre Apple-ID abfragen – und sogar Autorisierungs-Tokens. Auch auf die "Core Duet"-Datenbank soll es damit Zugriff geben, in der allerlei sensible Metadaten zur Kommunikation – also wer wann mit wem über iMessage, Mail oder andere Apps gesprochen hat. Mit iOS 15 hat Apple dieses Problem zumindest etwas weniger schlimm gemacht, zuvor sei es laut dem Forscher nämlich möglich gewesen, einfach die gesamte Datenbank zu kopieren. Auch dieses Update erfolgte ohne Erwähnung des Entdeckers des Problems. Übrigens funktioniert dieser Angriff selbst dann, wenn Game Center auf dem betreffenden Gerät gar nicht aktiviert ist.

Die zwei weiteren Lücken sind zwar vergleichsweise weniger schlimm – aber noch immer unerfreulich. So können Apps auch ohne die notwendigen Berechtigungen WLAN-Informationen abfragen, über die zweite Lücke können Details zu anderen installierten Programmen am iPhone unberechtigt abgefragt werden.

Fristen

Ein moralisches Problem damit, hier offene Lücken bekannt zu machen, hat "illusionofchaos" nicht, und das nicht bloß wegen der eigenen Erfahrungen. All diese drei Lücken seien mittlerweile vor mehr als 90 Tagen an Apple gemeldet worden, eine Grenze die mehrer Sicherheitsexperten mittlerweile vor einer Veröffentlichung ziehen – darunter auch Googles Project Zero. Eines der betroffenen Probleme sei gar schon vor mehr als einem halben Jahr an Apple gemeldet worden. (apo, 26.09.2021)