Sicherheitslücken: Apple patcht heimlich Zero Days, ohne Entdecker zu erwähnen

Keine Anerkennung für den Entdecker, keine Infos für die Nutzer: Apple patcht Sicherheitslücken immer wieder heimlich. Das sorgt für Frust.

Artikel veröffentlicht am ,
Apple lässt Sicherheitsforscher und Nutzer im Regen stehen.
Apple lässt Sicherheitsforscher und Nutzer im Regen stehen. (Bild: Dariusz Sankowski/Pixabay)

Mit der Veröffentlichung von iOS 15.0.2 hat Apple auch eine Zero Day behoben, mit der Angreifer auf Nutzerdaten zugreifen können. Allerdings hat Apple weder die Sicherheitslücke oder den Patch erwähnt, noch deren Entdecker, den Softwareentwickler Denis Tokarev, gewürdigt. Stattdessen wollte das Unternehmen die Lücken vertraulich behandelt wissen. Nicht zum ersten mal, wie das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. IT-Administrator (m/w/d)
    Heinle, Wischer und Partner Freie Architekten GbR, Stuttgart, Berlin, Köln, Dresden
  2. Technische/r Mitarbeiter/in (d/m/w) im Bereich Informatik
    THD - Technische Hochschule Deggendorf, Freyung
Detailsuche

Allein Tokarev weiß von zwei Sicherheitslücken zu berichten, die heimlich geschlossen wurden, ohne ihn in entsprechenden Update- und Sicherheitshinweisen von Apple zu erwähnen. So wurde bereits im Juli mit iOS 14.7 eine von Tokarev entdeckte Sicherheitslücke in analyticsd, über die jede installierte App auf die Analytics-Logs zugreifen konnte, stillschweigend geschlossen.

Stattdessen wurde ihm versprochen, ihn in den Sicherheitshinweisen zum nächsten Update zu berücksichtigen: "Aufgrund eines Verarbeitungsproblems wird Ihre Anerkennung in den Sicherheitshinweisen in einem kommenden Update enthalten sein. Wir entschuldigen uns für die Unannehmlichkeiten", schrieb ihm Apple. Doch auch mit den darauffolgenden iOS-Versionen 14.7.1, 14.8, 15.0 und 15.0.1 wurde er nicht erwähnt.

Wiederholungstäter Apple

Auch mit der eingangs erwähnten, in iOS 15.0.2 geschlossenen Sicherheitslücke, die Tokarev bereits vor sieben Monaten gemeldet hatte, wurde er nicht erwähnt. Zwei Tage nach Veröffentlichung des Updates wandte sich der Softwareentwickler an Apple und beklagte sich erneut über die Nicht-Anerkennung. Apple antwortete und bat ihn, den Inhalt des E-Mail-Austausches vertraulich zu behandeln.

Golem Akademie
  1. Kubernetes Dive-in-Workshop: virtueller Vier-Halbtage-Workshop
    25.–28. Januar 2022, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    25.–26. November 2021, virtuell
Weitere IT-Trainings

Die Sicherheitslücke steckte im Dienst Gamed und ermöglichte es jeder App, den Authentifizierungstoken, die E-Mail-Adresse und den vollständigen Namen zur Apple-ID auszulesen. Zudem sei ein vollständiger Lese-Zugriff auf die Core-Duet-Datenbank möglich, die eine "Liste von Kontakten aus Mail, SMS, iMessage, Messaging-Apps von Drittanbietern und Metadaten über alle Interaktionen des Nutzers mit diesen Kontakten" enthalte, wie Tokarev auf Github schreibt. Auch sei ein Lese-Zugriff auf die Kurzwahldatenbank und das Adressbuch möglich gewesen.

Insgesamt hatte Tokarev zwischen dem 10. März und dem 4. Mai vier Zero Days an Apple gemeldet. Im September hatte er Proof-of-Concept-Exploit-Code sowie Details zu den Sicherheitslücken auf Github veröffentlicht. Alle Sicherheitslücken wurden von Apple behoben.

Auch andere Sicherheitsforscher berichten laut Bleepingcomputer von ähnlichen Problemen mit Apple. Demnach seien auch die von ihnen gemeldeten Sicherheitslücken stillschweigend geschlossen worden, ohne eine entsprechende Anerkennung. Andere erhielten nicht den Betrag, der auf Apples offizieller Bounty-Seite aufgeführt ist, oder erhielten überhaupt keine Bounty-Auszahlung. Bei manchen wurde monatelang nicht auf E-Mails geantwortet.

Auch bei kleineren Unternehmen oder Parteien kommt es immer wieder zu Problemen mit gemeldeten Sicherheitslücken. So ging die CDU eine Sicherheitsforscherin an, die eine Sicherheitslücke in deren Wahlkampf-App aufgedeckt hatte. Mittlerweile ist die CDU zurückgerudert. Erst kürzlich widerfuhr einem Programmierer Ähnliches. Er hatte ein Datenleck mit 700.000 Betroffenen an eine Firma gemeldet und öffentlich gemacht. Anstelle eines Dankeschöns erhielt er eine Anzeige.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Rulf 15. Okt 2021 / Themenstart

naja...für die hersteller sind sicherheitsforscher sowas wie hacker=terroristen... und...

tom.stein 14. Okt 2021 / Themenstart

Wer glaubt, die Überschrift sei doch überflüssig, schaue sich nur die aktuellen Fälle an...

terraformer 14. Okt 2021 / Themenstart

Nur die grobe Idee, Feinheiten müsste man ausarbeiten, damit überhaupt noch jemand...

terraformer 14. Okt 2021 / Themenstart

Jetzt sei doch nicht so, das nennt sich künstlerische Freiheit. Wir sind hier ja schlie...

Myxin 14. Okt 2021 / Themenstart

Immerhin wird keiner Angezeigt und die Staatsanwaltschaft auf den Hals gehetzt. /s.

Kommentieren



Aktuell auf der Startseite von Golem.de
Rockstar Games
Neue GTA Trilogy läuft auch auf älterer PC-Hardware

Die Grafik der überarbeiteten GTA Trilogy sieht im Video viel besser aus als im Original. Trotzdem muss es keine ganz neue Hardware sein.

Rockstar Games: Neue GTA Trilogy läuft auch auf älterer PC-Hardware
Artikel
  1. Staatstrojaner: Journalist der New York Times mit Pegasus gehackt
    Staatstrojaner
    Journalist der New York Times mit Pegasus gehackt

    Nach mehreren Versuchen wurde ein Journalist der New York Times mit dem NSO-Trojaner Pegasus infiziert. Schützen konnte er sich nicht.

  2. Facebook: Konzern will verstärkt jüngere Zielgruppen ansprechen
    Facebook
    Konzern will verstärkt jüngere Zielgruppen ansprechen

    Unter Jugendlichen und jungen Erwachsenen sind Facebooks Dienste kaum noch gefragt. Das will Mark Zuckerberg mit einer Neuausrichtung ändern.

  3. Satechi: USB-C-Hub integriert eine externe SSD gleich mit
    Satechi
    USB-C-Hub integriert eine externe SSD gleich mit

    Der Hybrid Multiport Adapter kann per USB-C ein Notebook aufladen und weitere Geräte verbinden. Außerdem ist Platz für eine M.2-SSD.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Nintendo Switch OLED Weiß 369,99€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 jetzt erhältlich ab 2.249€ • EA-Spiele für alle Plattformen günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /