Ein Kind hält ein iPhone in der Hand
Ein aktueller Bericht des "Wall Street Journal" zeigt auf, dass der Kinder- und Jugendschutz bei Apple verbesserungsfähig ist. Das Problem dahinter scheint aber tiefgreifender zu sein.
AP/Kiichiro Sato

Die Bildschirmzeit-Einstellungen bei iPhone/iPad und MacOS werden gerne genutzt, um Accounts für Kinder zu verwalten und so für deren Schutz zu sorgen. Dabei geht es nicht nur darum, die tatsächliche Nutzungszeit auf ein verträgliches Maß einzuschränken, sondern auch darum, den Gebrauch bestimmter Apps zu reduzieren und nicht zuletzt den Zugriff auf unangemessenen Content zu verhindern. In der Theorie klingt das vorbildlich, nur scheint diese für Apple-Geräte offenbar eine gänzlich andere zu sein.

So war es bis vor kurzem möglich, mit einem vergleichsweise einfachen Trick in der Adresszeile von Safari diese einschränkenden Einstellungen zu umgehen. Dies ermöglichte den Zugriff auf unangemessene Inhalte wie Pornografie, Gewaltdarstellungen und Informationen über illegale Substanzen.

Kritischer Fehler im System

Das Problem, das bereits vor drei Jahren vom österreichischen Sicherheitsforscher Andreas Jägersberger entdeckt und gemeinsam mit seinem Kollegen Ro Achterberg aus Amsterdam über verschiedene Kanäle an den Hersteller gemeldet wurde, blieb trotz mehrfacher Warnungen an Apple ungelöst und weist auf ein tiefgreifendes Problem hin. Nicht nur hinsichtlich des Schutzes von Kindern und Jugendlichen, sondern auch in Bezug auf die sogenannte "responsible disclosure", wie Jägersberger auf Nachfrage des STANDARD betont.

Im Zuge ihrer Untersuchungen wurde neben den manuellen Methoden auch die Möglichkeit einer automatischen Ausnutzung der Schwachstelle aufgezeigt. Laut dem Security-Report von Jägersberger und Achterberg besteht die Gefahr, einen schädlichen Code von vermeintlich gesperrten Hosts, etwa in Form von Java Script, auf Webseiten einzuschleusen. Dieser Code wird dann ausgeführt, sobald ein Nutzer die Seite besucht. In der Theorie könnte dies auch in Form einer Exploit-Chain Anwendung finden.

Erst auf Medienbericht reagiert

Reagiert habe Apple erst nach einem Bericht des Wall Street Journal (kostenpflichtiger Link), wo auf diesen Fehler aufmerksam gemacht wurde und in Folge auch weitere Probleme zum Thema Kinderschutz aufgezeigt worden sind. Zuvor hatten die Sicherheitsforscher die Schwachstelle mehrmals an Apple gemeldet, ohne eine zufriedenstellende Reaktion oder Lösung vonseiten des Unternehmens erhalten zu haben.

Trotz wiederholter Versuche der Forscher, samt PoC und einem konkreten Lösungsvorschlag auf die Dringlichkeit hinzuweisen, wurden ihre Berichte lediglich als Feedback eingestuft, ohne dass signifikante Maßnahmen ergriffen wurden. Dabei stellt sich nicht zuletzt die Frage, wie ernst Apple die Sicherheitshinweise seiner Nutzer nimmt und inwiefern das Unternehmen bereit ist, seine Prozesse zur Meldung und Behebung von Sicherheitsproblemen zu verbessern.

Auch das beste Bug-Bounty-Programm mag außenwirksam sein, nützt aber relativ wenig, wenn es vom Unternehmen nicht als solches wahrgenommen wird. „Die Regeln werden von Apple aufgestellt und sollten als bindende Vereinbarung für beide Seiten gelten. In unserem konkreten Fall wird eine sicherheitsrelevante Schwachstelle nun als 'Softwareproblem' deklariert, das als solches aus dem Raster des Bug-Bounty-Programms fällt", so Jägersberger.

Laufende Verbesserungen versprochen

Die Vorfälle um die Bildschirmzeit bei Apple im Besonderen unterstreichen jedenfalls eine größere Herausforderung im Umgang mit digitaler Sicherheit und Nutzererfahrung im Allgemeinen – nicht nur, aber auch, wenn es um den Schutz Kinder und Jugendlicher geht. Im Statement an das Wall Street Journal behauptet Apple, die Beziehung zu den Forschern zu schätzen und sich um eine kontinuierliche Verbesserung der Bildschirmzeitverwaltung zu bemühen.

Diese Aussagen stehen im Kontrast zu den Erfahrungen der Betroffenen – auch jenen vieler enttäuschter Eltern. Bleibt also abzuwarten, wie effektiv die umgesetzten und angekündigten Verbesserungen in der Praxis wirklich sein werden – und ob sie langfristig ausreichen werden, das Vertrauen der Nutzerinnen und Nutzer wiederherzustellen, die aufgrund dieser Probleme zu Recht verärgert sind. (Benjamin Brandtner, 9.6.2024)