Mobile Security

Zero-Day-Lücken publiziert: Apple entschuldigt sich bei Sicherheitsforscher

"illusionofchaos" hatte bereits vor Monaten problematische Schwachstellen in Apple-Systemen gemeldet. Erst nach einem Blogpost reagierte der Konzern.

Apple hat sich per E-Mail bei einem Sicherheitsforscher gemeldet, der zuvor aus Frust gleich mehrere noch unbekannte Lücken für Apple-Systeme veröffentlicht hatte. Die Bugs, die unter anderem Zugriff auf sensible Nutzerdaten ermöglicht haben sollen, waren von Apple seit Frühjahr nur eingeschränkt behoben worden – und die Kommunikation mit dem IT-Security-Spezialisten namens "illusionofchaos" verlief äußerst schleppend.

Apple hat das Blogposting gelesen

"illusionofchaos", der mit richtigem Namen Denis Tokarev heißt, teilte mit, Apple habe sich per Mail bei ihm entschuldigt. Man habe "das Blogposting im Bezug auf dieses Problem und Ihre anderen Berichte" gesehen. "Wir entschuldigen uns für die Verzögerung mit unserer Antwort." Wirklich hilfreich war die E-Mail, die ein Apple-Mitarbeiter zeichnete, allerdings nicht. Der Konzern hat die von "illusionofchaos" entdeckten Bugs noch immer nicht gefixt. "Wir untersuchen [sie] noch und wie wir unsere Kunden am besten schützen können", so der Konzernvertreter lapidar. Er bedankte sich artig, dass sich der Sicherheitsforscher die Zeit genommen habe, sie zu melden.

Apple hatte eines der gemeldeten Probleme in iOS 14.7 behoben, ohne dass es dazu Informationen für die Nutzer (oder gar einen "Credit" für Tokarev) gegeben hätte. Drei weitere Fehler blieben jedoch bestehen, was den Sicherheitsforscher wiederum motivierte, selbst in seinem Blog Disclosure-Maßnahmen zu ergreifen. Auch hat er bislang offenbar keine Aussage bekommen, ob ihm Geld aus Apples Bug-Bounty-Programm zusteht. Apples Entschuldigung ist zudem nicht die erste – auch schon zuvor hatte sich der Konzern bei Tokarev gemeldet und ihm gesagt, man kümmere sich.

Probleme über Probleme

Das größte von dem Experten entdeckte Problem scheint in Apples Spielenetzwerk Game Center zu liegen: Aus dem App Store installierte Apps seien darüber in der Lage, unter anderem die E-Mail-Adresse und den vollen Namen zu der Apple-ID des Nutzers auszulesen.

Auch ein Zugriff auf die "Core Duet"-Datenbank soll möglich sein, die Einblick in die Kommunikation des Nutzers gibt: Sie enthält eine Liste mit Metadaten wie Zeitstempeln und Kontakten, mit denen über iMessage, Mail und Dritt-Messengern Nachrichten ausgetauscht wurden. In iOS 14.8 sei es darüber auch möglich, die komplette Adressbuch-Datenbank ohne Zustimmung des Nutzers auszulesen, was allerdings in iOS 15 (ohne Nutzerinfo) behoben wurde.

Quelle: heise online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben