Sicherheitslücken: Apple patcht heimlich Zero Days, ohne Entdecker zu erwähnen

Mit der Veröffentlichung von iOS 15.0.2 hat Apple auch eine Zero Day behoben, mit der Angreifer auf Nutzerdaten zugreifen können. Allerdings hat Apple weder die Sicherheitslücke oder den Patch erwähnt, noch deren Entdecker, den Softwareentwickler Denis Tokarev, gewürdigt. Stattdessen wollte das Unternehmen die Lücken vertraulich behandelt wissen. Nicht zum ersten mal, wie das Onlinemagazin Bleepingcomputer berichtet.

Allein Tokarev weiß von zwei Sicherheitslücken zu berichten, die heimlich geschlossen wurden, ohne ihn in entsprechenden Update- und Sicherheitshinweisen von Apple zu erwähnen. So wurde bereits im Juli mit iOS 14.7 eine von Tokarev entdeckte Sicherheitslücke in analyticsd, über die jede installierte App auf die Analytics-Logs zugreifen konnte, stillschweigend geschlossen.

Stattdessen wurde ihm versprochen, ihn in den Sicherheitshinweisen zum nächsten Update zu berücksichtigen: "Aufgrund eines Verarbeitungsproblems wird Ihre Anerkennung in den Sicherheitshinweisen in einem kommenden Update enthalten sein. Wir entschuldigen uns für die Unannehmlichkeiten", schrieb ihm Apple. Doch auch mit den darauffolgenden iOS-Versionen 14.7.1, 14.8, 15.0 und 15.0.1 wurde er nicht erwähnt.

Wiederholungstäter Apple

Auch mit der eingangs erwähnten, in iOS 15.0.2 geschlossenen Sicherheitslücke, die Tokarev bereits vor sieben Monaten gemeldet hatte, wurde er nicht erwähnt. Zwei Tage nach Veröffentlichung des Updates wandte sich der Softwareentwickler an Apple und beklagte sich erneut über die Nicht-Anerkennung. Apple antwortete und bat ihn, den Inhalt des E-Mail-Austausches vertraulich zu behandeln.

Die Sicherheitslücke steckte im Dienst Gamed und ermöglichte es jeder App, den Authentifizierungstoken, die E-Mail-Adresse und den vollständigen Namen zur Apple-ID auszulesen. Zudem sei ein vollständiger Lese-Zugriff auf die Core-Duet-Datenbank möglich, die eine "Liste von Kontakten aus Mail, SMS, iMessage, Messaging-Apps von Drittanbietern und Metadaten über alle Interaktionen des Nutzers mit diesen Kontakten" enthalte, wie Tokarev auf Github schreibt. Auch sei ein Lese-Zugriff auf die Kurzwahldatenbank und das Adressbuch möglich gewesen.

Insgesamt hatte Tokarev zwischen dem 10. März und dem 4. Mai vier Zero Days an Apple gemeldet. Im September hatte er Proof-of-Concept-Exploit-Code sowie Details zu den Sicherheitslücken auf Github veröffentlicht. Alle Sicherheitslücken wurden von Apple behoben.

Auch andere Sicherheitsforscher berichten laut Bleepingcomputer von ähnlichen Problemen mit Apple. Demnach seien auch die von ihnen gemeldeten Sicherheitslücken stillschweigend geschlossen worden, ohne eine entsprechende Anerkennung. Andere erhielten nicht den Betrag, der auf Apples offizieller Bounty-Seite aufgeführt ist, oder erhielten überhaupt keine Bounty-Auszahlung. Bei manchen wurde monatelang nicht auf E-Mails geantwortet.

Auch bei kleineren Unternehmen oder Parteien kommt es immer wieder zu Problemen mit gemeldeten Sicherheitslücken. So ging die CDU eine Sicherheitsforscherin an, die eine Sicherheitslücke in deren Wahlkampf-App aufgedeckt hatte. Mittlerweile ist die CDU zurückgerudert. Erst kürzlich widerfuhr einem Programmierer Ähnliches. Er hatte ein Datenleck mit 700.000 Betroffenen an eine Firma gemeldet und öffentlich gemacht. Anstelle eines Dankeschöns erhielt er eine Anzeige.