Sicherheitslücken: Apple patcht heimlich Zero Days, ohne Entdecker zu erwähnen

Keine Anerkennung für den Entdecker, keine Infos für die Nutzer: Apple patcht Sicherheitslücken immer wieder heimlich. Das sorgt für Frust.

Artikel veröffentlicht am ,
Apple lässt Sicherheitsforscher und Nutzer im Regen stehen.
Apple lässt Sicherheitsforscher und Nutzer im Regen stehen. (Bild: Dariusz Sankowski/Pixabay)

Mit der Veröffentlichung von iOS 15.0.2 hat Apple auch eine Zero Day behoben, mit der Angreifer auf Nutzerdaten zugreifen können. Allerdings hat Apple weder die Sicherheitslücke oder den Patch erwähnt, noch deren Entdecker, den Softwareentwickler Denis Tokarev, gewürdigt. Stattdessen wollte das Unternehmen die Lücken vertraulich behandelt wissen. Nicht zum ersten mal, wie das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. Fachinformatiker (w/m/d) Schwerpunkt Microsoft Client, Server
    Computacenter AG & Co. oHG, verschiedene Standorte
  2. Fachinformatiker für Anwendungsentwicklung (m/w/d)
    NKD Group GmbH, Bindlach
Detailsuche

Allein Tokarev weiß von zwei Sicherheitslücken zu berichten, die heimlich geschlossen wurden, ohne ihn in entsprechenden Update- und Sicherheitshinweisen von Apple zu erwähnen. So wurde bereits im Juli mit iOS 14.7 eine von Tokarev entdeckte Sicherheitslücke in analyticsd, über die jede installierte App auf die Analytics-Logs zugreifen konnte, stillschweigend geschlossen.

Stattdessen wurde ihm versprochen, ihn in den Sicherheitshinweisen zum nächsten Update zu berücksichtigen: "Aufgrund eines Verarbeitungsproblems wird Ihre Anerkennung in den Sicherheitshinweisen in einem kommenden Update enthalten sein. Wir entschuldigen uns für die Unannehmlichkeiten", schrieb ihm Apple. Doch auch mit den darauffolgenden iOS-Versionen 14.7.1, 14.8, 15.0 und 15.0.1 wurde er nicht erwähnt.

Wiederholungstäter Apple

Auch mit der eingangs erwähnten, in iOS 15.0.2 geschlossenen Sicherheitslücke, die Tokarev bereits vor sieben Monaten gemeldet hatte, wurde er nicht erwähnt. Zwei Tage nach Veröffentlichung des Updates wandte sich der Softwareentwickler an Apple und beklagte sich erneut über die Nicht-Anerkennung. Apple antwortete und bat ihn, den Inhalt des E-Mail-Austausches vertraulich zu behandeln.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    14.–15. Oktober 2021, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

Die Sicherheitslücke steckte im Dienst Gamed und ermöglichte es jeder App, den Authentifizierungstoken, die E-Mail-Adresse und den vollständigen Namen zur Apple-ID auszulesen. Zudem sei ein vollständiger Lese-Zugriff auf die Core-Duet-Datenbank möglich, die eine "Liste von Kontakten aus Mail, SMS, iMessage, Messaging-Apps von Drittanbietern und Metadaten über alle Interaktionen des Nutzers mit diesen Kontakten" enthalte, wie Tokarev auf Github schreibt. Auch sei ein Lese-Zugriff auf die Kurzwahldatenbank und das Adressbuch möglich gewesen.

Insgesamt hatte Tokarev zwischen dem 10. März und dem 4. Mai vier Zero Days an Apple gemeldet. Im September hatte er Proof-of-Concept-Exploit-Code sowie Details zu den Sicherheitslücken auf Github veröffentlicht. Alle Sicherheitslücken wurden von Apple behoben.

Auch andere Sicherheitsforscher berichten laut Bleepingcomputer von ähnlichen Problemen mit Apple. Demnach seien auch die von ihnen gemeldeten Sicherheitslücken stillschweigend geschlossen worden, ohne eine entsprechende Anerkennung. Andere erhielten nicht den Betrag, der auf Apples offizieller Bounty-Seite aufgeführt ist, oder erhielten überhaupt keine Bounty-Auszahlung. Bei manchen wurde monatelang nicht auf E-Mails geantwortet.

Auch bei kleineren Unternehmen oder Parteien kommt es immer wieder zu Problemen mit gemeldeten Sicherheitslücken. So ging die CDU eine Sicherheitsforscherin an, die eine Sicherheitslücke in deren Wahlkampf-App aufgedeckt hatte. Mittlerweile ist die CDU zurückgerudert. Erst kürzlich widerfuhr einem Programmierer Ähnliches. Er hatte ein Datenleck mit 700.000 Betroffenen an eine Firma gemeldet und öffentlich gemacht. Anstelle eines Dankeschöns erhielt er eine Anzeige.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Rulf 15. Okt 2021 / Themenstart

naja...für die hersteller sind sicherheitsforscher sowas wie hacker=terroristen... und...

tom.stein 14. Okt 2021 / Themenstart

Wer glaubt, die Überschrift sei doch überflüssig, schaue sich nur die aktuellen Fälle an...

terraformer 14. Okt 2021 / Themenstart

Nur die grobe Idee, Feinheiten müsste man ausarbeiten, damit überhaupt noch jemand...

terraformer 14. Okt 2021 / Themenstart

Jetzt sei doch nicht so, das nennt sich künstlerische Freiheit. Wir sind hier ja schlie...

Myxin 14. Okt 2021 / Themenstart

Immerhin wird keiner Angezeigt und die Staatsanwaltschaft auf den Hals gehetzt. /s.

Kommentieren



Aktuell auf der Startseite von Golem.de
Apple
Kunde zeigt das Innere des Macbook Pro 14 mit M1 Pro

Das neue Macbook Pro 14 kann wie die Vorgänger aufgeschraubt werden. Zumindest Akku und Ports sind auswechselbar, RAM und SSD aber nicht.

Apple: Kunde zeigt das Innere des Macbook Pro 14 mit M1 Pro
Artikel
  1. Informatik: Programmieren lernen tut weh
    Informatik
    "Programmieren lernen tut weh"

    Doris Aschenbrenner ist eine der jüngsten Professorinnen für Informatik in Deutschland. Ein Porträt über eine Frau mit einer großen Liebe für Roboter.
    Ein Porträt von Peter Ilg

  2. Surface: Microsoft arbeitet an Windows 11 und Notebook für Schulen
    Surface
    Microsoft arbeitet an Windows 11 und Notebook für Schulen

    Im niedrigen Preissegment soll sich Microsofts Notebook Tenjin ansiedeln. Fürs Klassenzimmer entsteht wohl zudem Windows 11 SE.

  3. Plugin-Hybride: Endet die Förderung trotz höherer Reichweiten?
    Plugin-Hybride
    Endet die Förderung trotz höherer Reichweiten?

    Die Plugin-Hybride der Mercedes C-Klasse sollen elektrisch mehr als 100 km weit kommen. Doch die Ampelkoalition könnte die umstrittene Förderung streichen.
    Von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Maiboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Switch OLED 359,99€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /