Sicherheitslücken: Apple patcht heimlich Zero Days, ohne Entdecker zu erwähnen

Keine Anerkennung für den Entdecker, keine Infos für die Nutzer: Apple patcht Sicherheitslücken immer wieder heimlich. Das sorgt für Frust.

Artikel veröffentlicht am ,
Apple lässt Sicherheitsforscher und Nutzer im Regen stehen.
Apple lässt Sicherheitsforscher und Nutzer im Regen stehen. (Bild: Dariusz Sankowski/Pixabay)

Mit der Veröffentlichung von iOS 15.0.2 hat Apple auch eine Zero Day behoben, mit der Angreifer auf Nutzerdaten zugreifen können. Allerdings hat Apple weder die Sicherheitslücke oder den Patch erwähnt, noch deren Entdecker, den Softwareentwickler Denis Tokarev, gewürdigt. Stattdessen wollte das Unternehmen die Lücken vertraulich behandelt wissen. Nicht zum ersten mal, wie das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d)
    Stadt Nürtingen, Nürtingen
  2. Junior Project Manager (m/w/d) IT
    SCHOTT AG, Mainz
Detailsuche

Allein Tokarev weiß von zwei Sicherheitslücken zu berichten, die heimlich geschlossen wurden, ohne ihn in entsprechenden Update- und Sicherheitshinweisen von Apple zu erwähnen. So wurde bereits im Juli mit iOS 14.7 eine von Tokarev entdeckte Sicherheitslücke in analyticsd, über die jede installierte App auf die Analytics-Logs zugreifen konnte, stillschweigend geschlossen.

Stattdessen wurde ihm versprochen, ihn in den Sicherheitshinweisen zum nächsten Update zu berücksichtigen: "Aufgrund eines Verarbeitungsproblems wird Ihre Anerkennung in den Sicherheitshinweisen in einem kommenden Update enthalten sein. Wir entschuldigen uns für die Unannehmlichkeiten", schrieb ihm Apple. Doch auch mit den darauffolgenden iOS-Versionen 14.7.1, 14.8, 15.0 und 15.0.1 wurde er nicht erwähnt.

Wiederholungstäter Apple

Auch mit der eingangs erwähnten, in iOS 15.0.2 geschlossenen Sicherheitslücke, die Tokarev bereits vor sieben Monaten gemeldet hatte, wurde er nicht erwähnt. Zwei Tage nach Veröffentlichung des Updates wandte sich der Softwareentwickler an Apple und beklagte sich erneut über die Nicht-Anerkennung. Apple antwortete und bat ihn, den Inhalt des E-Mail-Austausches vertraulich zu behandeln.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Die Sicherheitslücke steckte im Dienst Gamed und ermöglichte es jeder App, den Authentifizierungstoken, die E-Mail-Adresse und den vollständigen Namen zur Apple-ID auszulesen. Zudem sei ein vollständiger Lese-Zugriff auf die Core-Duet-Datenbank möglich, die eine "Liste von Kontakten aus Mail, SMS, iMessage, Messaging-Apps von Drittanbietern und Metadaten über alle Interaktionen des Nutzers mit diesen Kontakten" enthalte, wie Tokarev auf Github schreibt. Auch sei ein Lese-Zugriff auf die Kurzwahldatenbank und das Adressbuch möglich gewesen.

Insgesamt hatte Tokarev zwischen dem 10. März und dem 4. Mai vier Zero Days an Apple gemeldet. Im September hatte er Proof-of-Concept-Exploit-Code sowie Details zu den Sicherheitslücken auf Github veröffentlicht. Alle Sicherheitslücken wurden von Apple behoben.

Auch andere Sicherheitsforscher berichten laut Bleepingcomputer von ähnlichen Problemen mit Apple. Demnach seien auch die von ihnen gemeldeten Sicherheitslücken stillschweigend geschlossen worden, ohne eine entsprechende Anerkennung. Andere erhielten nicht den Betrag, der auf Apples offizieller Bounty-Seite aufgeführt ist, oder erhielten überhaupt keine Bounty-Auszahlung. Bei manchen wurde monatelang nicht auf E-Mails geantwortet.

Auch bei kleineren Unternehmen oder Parteien kommt es immer wieder zu Problemen mit gemeldeten Sicherheitslücken. So ging die CDU eine Sicherheitsforscherin an, die eine Sicherheitslücke in deren Wahlkampf-App aufgedeckt hatte. Mittlerweile ist die CDU zurückgerudert. Erst kürzlich widerfuhr einem Programmierer Ähnliches. Er hatte ein Datenleck mit 700.000 Betroffenen an eine Firma gemeldet und öffentlich gemacht. Anstelle eines Dankeschöns erhielt er eine Anzeige.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Rulf 15. Okt 2021 / Themenstart

naja...für die hersteller sind sicherheitsforscher sowas wie hacker=terroristen... und...

tom.stein 14. Okt 2021 / Themenstart

Wer glaubt, die Überschrift sei doch überflüssig, schaue sich nur die aktuellen Fälle an...

terraformer 14. Okt 2021 / Themenstart

Nur die grobe Idee, Feinheiten müsste man ausarbeiten, damit überhaupt noch jemand...

terraformer 14. Okt 2021 / Themenstart

Jetzt sei doch nicht so, das nennt sich künstlerische Freiheit. Wir sind hier ja schlie...

Myxin 14. Okt 2021 / Themenstart

Immerhin wird keiner Angezeigt und die Staatsanwaltschaft auf den Hals gehetzt. /s.

Kommentieren



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

  3. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /