Sicherheitslücken: Apple patcht heimlich Zero Days, ohne Entdecker zu erwähnen

Keine Anerkennung für den Entdecker, keine Infos für die Nutzer: Apple patcht Sicherheitslücken immer wieder heimlich. Das sorgt für Frust.

Artikel veröffentlicht am ,
Apple lässt Sicherheitsforscher und Nutzer im Regen stehen.
Apple lässt Sicherheitsforscher und Nutzer im Regen stehen. (Bild: Dariusz Sankowski/Pixabay)

Mit der Veröffentlichung von iOS 15.0.2 hat Apple auch eine Zero Day behoben, mit der Angreifer auf Nutzerdaten zugreifen können. Allerdings hat Apple weder die Sicherheitslücke oder den Patch erwähnt, noch deren Entdecker, den Softwareentwickler Denis Tokarev, gewürdigt. Stattdessen wollte das Unternehmen die Lücken vertraulich behandelt wissen. Nicht zum ersten mal, wie das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. Digitalisierungskoordinator (m/w/d)
    Kunstakademie Münster, Münster
  2. Referentin / Referent für den Bereich Organisations- und Informationsmanagement (m/w/d)
    Kommunale Gemeinschaftsstelle für Verwaltungsmanagement (KGSt), Köln
Detailsuche

Allein Tokarev weiß von zwei Sicherheitslücken zu berichten, die heimlich geschlossen wurden, ohne ihn in entsprechenden Update- und Sicherheitshinweisen von Apple zu erwähnen. So wurde bereits im Juli mit iOS 14.7 eine von Tokarev entdeckte Sicherheitslücke in analyticsd, über die jede installierte App auf die Analytics-Logs zugreifen konnte, stillschweigend geschlossen.

Stattdessen wurde ihm versprochen, ihn in den Sicherheitshinweisen zum nächsten Update zu berücksichtigen: "Aufgrund eines Verarbeitungsproblems wird Ihre Anerkennung in den Sicherheitshinweisen in einem kommenden Update enthalten sein. Wir entschuldigen uns für die Unannehmlichkeiten", schrieb ihm Apple. Doch auch mit den darauffolgenden iOS-Versionen 14.7.1, 14.8, 15.0 und 15.0.1 wurde er nicht erwähnt.

Wiederholungstäter Apple

Auch mit der eingangs erwähnten, in iOS 15.0.2 geschlossenen Sicherheitslücke, die Tokarev bereits vor sieben Monaten gemeldet hatte, wurde er nicht erwähnt. Zwei Tage nach Veröffentlichung des Updates wandte sich der Softwareentwickler an Apple und beklagte sich erneut über die Nicht-Anerkennung. Apple antwortete und bat ihn, den Inhalt des E-Mail-Austausches vertraulich zu behandeln.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Die Sicherheitslücke steckte im Dienst Gamed und ermöglichte es jeder App, den Authentifizierungstoken, die E-Mail-Adresse und den vollständigen Namen zur Apple-ID auszulesen. Zudem sei ein vollständiger Lese-Zugriff auf die Core-Duet-Datenbank möglich, die eine "Liste von Kontakten aus Mail, SMS, iMessage, Messaging-Apps von Drittanbietern und Metadaten über alle Interaktionen des Nutzers mit diesen Kontakten" enthalte, wie Tokarev auf Github schreibt. Auch sei ein Lese-Zugriff auf die Kurzwahldatenbank und das Adressbuch möglich gewesen.

Insgesamt hatte Tokarev zwischen dem 10. März und dem 4. Mai vier Zero Days an Apple gemeldet. Im September hatte er Proof-of-Concept-Exploit-Code sowie Details zu den Sicherheitslücken auf Github veröffentlicht. Alle Sicherheitslücken wurden von Apple behoben.

Auch andere Sicherheitsforscher berichten laut Bleepingcomputer von ähnlichen Problemen mit Apple. Demnach seien auch die von ihnen gemeldeten Sicherheitslücken stillschweigend geschlossen worden, ohne eine entsprechende Anerkennung. Andere erhielten nicht den Betrag, der auf Apples offizieller Bounty-Seite aufgeführt ist, oder erhielten überhaupt keine Bounty-Auszahlung. Bei manchen wurde monatelang nicht auf E-Mails geantwortet.

Auch bei kleineren Unternehmen oder Parteien kommt es immer wieder zu Problemen mit gemeldeten Sicherheitslücken. So ging die CDU eine Sicherheitsforscherin an, die eine Sicherheitslücke in deren Wahlkampf-App aufgedeckt hatte. Mittlerweile ist die CDU zurückgerudert. Erst kürzlich widerfuhr einem Programmierer Ähnliches. Er hatte ein Datenleck mit 700.000 Betroffenen an eine Firma gemeldet und öffentlich gemacht. Anstelle eines Dankeschöns erhielt er eine Anzeige.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Rulf 15. Okt 2021 / Themenstart

naja...für die hersteller sind sicherheitsforscher sowas wie hacker=terroristen... und...

tom.stein 14. Okt 2021 / Themenstart

Wer glaubt, die Überschrift sei doch überflüssig, schaue sich nur die aktuellen Fälle an...

terraformer 14. Okt 2021 / Themenstart

Nur die grobe Idee, Feinheiten müsste man ausarbeiten, damit überhaupt noch jemand...

terraformer 14. Okt 2021 / Themenstart

Jetzt sei doch nicht so, das nennt sich künstlerische Freiheit. Wir sind hier ja schlie...

Myxin 14. Okt 2021 / Themenstart

Immerhin wird keiner Angezeigt und die Staatsanwaltschaft auf den Hals gehetzt. /s.

Kommentieren



Aktuell auf der Startseite von Golem.de
HT Aero
Xpeng kündigt fliegendes Auto an

HT Aero heißt das Flugauto, das der chinesische Autohersteller Xpeng 2024 auf den Markt bringen will.

HT Aero: Xpeng kündigt fliegendes Auto an
Artikel
  1. Bundesregierung: Autobahn App 2.0 fürs erste Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 fürs erste Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  2. Mit ZF das Auto der Zukunft sehen, denken und handeln lassen
     
    Mit ZF das Auto der Zukunft sehen, denken und handeln lassen

    Für die saubere, sichere und komfortable Mobilität von morgen entwickelt ZF schon heute die notwendigen Technologien - und sucht dafür kreative und motivierte Fachkräfte aus den Bereichen Elektromobilität und autonomes Fahren.
    Sponsored Post von ZF

  3. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional & Lexware Steuersoftware bei Amazon günstiger • Alternate (u. a. Apacer 1TB SATA-SSD 86,90 & Team Group 1TB PCIe-4.0-SSD 159,90) • Asus ROG Strix Z590-A Gaming WIFI 258€ • Saturn Gutscheinheft mit Direktabzügen und Zugaben • Seagate SSDs & HDDs günstiger [Werbung]
    •  /