Apple reagierte nicht
FaceTime-Sicherheitslücke offenbar seit etlichen Tagen bekannt
Apple wusste über die in der Nacht zum Dienstag bekanntgewordene FaceTime-Sicherheitslücke, die es Anrufern ermöglichte den angerufenen Gesprächspartner ohne dessen Zutun und noch vor der eigentlichen Rufannahme zu belauschen, offenbar schon seit mehreren Tagen bescheid.
FYI- I called, FB messaged, faxed, emailed and tweeted Apple exhaustively last week to no avail. Submitted official bug report also. Tried to keep it private b/c of the security concerns. Never heard from them.
— MGT7 (@MGT7500) January 29, 2019
Diesen Schluss lassen mehrere Wortmeldungen im Portal des Kurznachrichten-Dienstes Twitter zu. Hier finden sich unter anderem die Tweets der Nutzerin @MGT7500, die Apple bereits am 21. Januar auf die Schwachstelle hinwies und sich fast schon flehend an den @AppleSupport und @TimCook wandte:
Mein Teenager hat einen großen Sicherheitsfehler in Apples neuem iOS gefunden. Er kann sein iPhones und Pads ohne Zustimmung abhören. Ich habe ein Video davon. Ein Fehlerbericht wurde bereits an @AppleSupport übermittelt … ich warte auf eine Rückmeldung, um weitere Details preiszugeben. Gruseliges Zeug! #apple #bugreport @foxnews
@tim_cook Der Fehler ist echt … ich versuche Apples Aufmerksamkeit zu erlangen, damit man hier aktiv wird. Ich bin nur die Mutter eines Teenagers, der in Ihrem neuen Update ein riesiges Problem gefunden hat. Ich habe es selbst bestätigt … jemand von Apple sollte uns antworten.
Wie berichtet, waren sowohl Audio- als auch Video-Verbindungen von dem Backdoor Fehler betroffen, der den unerlaubten Zugriff auf Kamera und Mikrofon fremder iPhones ermöglichte.
Obwohl Apple also schon seit über einer Woche über die FaceTime-Sicherheitslücke bescheid wusste, schaltete der Konzern die Server für Gruppen-Anrufe erst nach der webweiten Welle der Aufmerksamkeit ab, die in der Nacht zum Dienstag durch das Netz toste. Die Twitter-Nutzerin @MGT7500 hat inzwischen sogar angegeben, Apple mit gezielten E-Mail-Zuschriften auf den Fehler hingewiesen zu haben.
Ich habe Apple letzte Woche vergeblich angerufen, per Fax benachrichtigt, per E-Mail und Twitter angeschrieben. Einen offiziellen Fehlerbericht habe ich ebenfalls eingereicht. […] Ich habe bislang keine Rückmeldung bekommen.
Ist bei uns auch praxis. Solange es nur einzelne Wissen ist alles gut. Wenn es alle wissen muss abgeschalten werden. :D
Muss abgeschaltet werden
Weißt du, es gibt da etwas, das nennt sich Dialekt.
Leute in Regionen, die gezwungen werden, Hochdeutsch zu sprechen bzw. zu schreiben, können vereinzelt unbewusst Wörter benutzen, die sonst dialektale Formen darstellen.
Wie auch hier „abgeschalten“ / „abgeschaltet“.
Soweit ich weiß, ist es im Süden Deutschlands üblich, die „-en“-Form zu benutzen. Das gleiche gilt auch für die Leute, die sich jedes Mal über „einzigste“ aufregen. „Einzigste“ ist ein Wort, das in Dialekten üblich ist. Wenn Leute in solchen Regionen aufwachsen und Hochdeutsch lernen, kann es nun mal vorkommen, dass sie die Wörter von ihren Dialekt-sprechenden Verwandten / Freunden / Bekannten etc. übernehmen.
Das hat NICHTS mit schlechtem Deutsch zu tun. Übrigens, wer es immer noch nicht weiß: Hochdeutsch ist auch nur kein Dialekt. Es gibt und gab noch nie „das“ richtige Deutsch. Hochdeutsch hat sich nur irgendwann durchgesetzt – ich empfehle einen Blick in Geschichtsbücher, wer Zeit und Lust hat, sich richtiges Wissen anzueignen.
Und bevor jetzt Leute meckern, heini habe ja nicht im Dialekt geschrieben: Lest mein Kommentar nochmal.
Es gibt die Konstellation „Mutter und Vater reden Dialekt, Sohn / Tochter wird mit Hochdeutsch aufgezogen“. Da ist es häufig so, dass einzelne Wörter dann aus dem Dialekt stammen und andere jenen Sohn / Tochter blöd anschauen, von wegen „hab ich noch nie gehört“.
Ich wünschte, es gäbe einen Tag im Internet, in dem andere Leute Fremde nicht ständig korrigieren. Wenn jetzt natürlich jemand ankommt mit Sätzen wie „ich kan net glauben das dass so isst“, dann ist das eine völlig andere Sache. Aber wegen einem Wort jemanden zu korrigieren, ist unsinnig.
Und ja, ich habe mir jetzt die Mühe gemacht, zwei lange Kommentare wegen so einem Mist zu schreiben. Weil es auf Dauer einfach nervt. Ich kenne Leute, die wirklich jedes Mal ein Gespräch unterbrechen, weil jemand „einzigste“, „wo“, Wörter wie „abgeschalten“ benutzen. Das nervt.
Ja, warum den Kunden länger als nötig den Saft abdrehen, immerhin braucht das ganze auch Zeit um behoben zu werden und so weiter….
Aber Rückmeldung darf man geben, dass man verstanden hat.
Scheiß Support für ALLE Kunden! Schwache Leistung. Passt zum Gesamtbild.
Aber wenn Apple Rückmeldung gibt das es wahr ist, könnten sie die Server nicht so lang wie möglich laufen lassen.
Ich glaube nicht das Apple sich die Twitter Accounts angelegt hat um mit Nutzern zu kommunizieren sondern für PR und im Twitter Video sieht sehr stark gefaket aus und diese Frau kann jetzt vieles sagen aber hier muss ich sagen hat Apple sich richtig verhalten : 1. erkennen (nicht per Twitter)
2. Konsequenzen ziehen (Gruppen FaceTime pausieren)
3. beheben
Und ganz ehrlich wenn das wirklich was dran gewesen wäre würde sie wahrscheinlich nicht nur versuchen den Apple Support per Twitter zu kontaktieren bzw. nicht nur Ausschließlich.
Unbelehrbarer Fanboy. Gut schöngeredet.
Tatsächlich nicht…so like- und Aufmerksamkeits-geile Menschen wie es heutzutage gibt…
Und was hätte sie sonst tun sollen? Vielleicht Bundesnachrichtendienst anrufen?
Ich weiß gar nicht was mich mehr schockiert.
Ich kann den Fehler nur bestätigen. Daher bin ich mir sicher, dass es wohl auch echt ist, denn der Fehler existierte!
Wenn du den Bericht mal gelesen hättest, wüsstest du, dass sie außer über Twitter auch noch per Mail, Supportbericht und Telefon versucht hat, von Apple eine Reaktion zu erhalten. Was soll man denn bitte noch machen?
Am Ende kann man es nur veröffentlichen, damit Apple reagiert.
Du…heutzutage dreht sich doch alle nur noch um Klicks und Likes…warum direkt an Apple wenden wenn ich auf Twitter für 2-3 Tage einen mega Hype auslösen kann…sind halt alles Aufmerksamkeits-geile Menschen…
Anscheinend hat die ja auf mehreren Wegen versucht, Apple zu erreichen. Aber was soll Apple denn machen. Die bekommen doch täglich bestimmt tausende Fehlermeldungen.
Und wenn der Fehler bekannt ist, kann der Typ an der Hotline ja auch nicht gleich FaceTime deaktivieren. Das wird bestimmt in der obersten Führungsebene entschieden. Es geht dabei ja nicht nur um die Privatsphäre der Apple Kunden, sondern um Apples Ruf. Durch die Veröffentlichung haben die Apple jetzt zu der Maßnahme gezwungen.
Ja, anscheinend.
Apple ist echt nur noch ätzend, und das sage ich als ehemals begeisterter User.
Na dann: bye. Viel Spaß bei Google.
+1 Wenn es bei Google reportet wird bekommst du sowieso nie das Update. :D
Ausprobieren und lernen. Anders lernt man es nicht!
Er ist ein „ehemals begeisterter User“, das heisst nicht, dass er gar kein Apple-User mehr ist. Dieses reflexartige „Spass-Gewünsche“ geht mir gehörig auf die Nerven! :-((
Mir geht das ständige, unreflektierte „Apple ist nur noch [irgendwas Negatives einsetzen]“ auch massiv auf die Nerven. So what.
Deshalb hoffe ich auch, dass Apple die Preise weiter anhebt. Dann ist endlich Schluss mit diesen „ich war mal begeistert“ Kunden. Entweder man lebt Apple oder man lässt es. Was soll diese künstliche Aufregung hier überhaupt. Ich kenne niemanden, der FaceTime wirklich nutzt, geschweige denn die Gruppenfunktionen davon. Aber hier wird wegen einem kleinen Fehler (es ist ja keine Sicherheitslücke, weil die Sicherheit nicht beeinträchtigt wird) gleich ein Skandal gemacht. Dabei wird es sowasbei euren Billighandys bestimmt auch geben.
Ja das denke ich mir zur Zeit auch immer öfter, jeder Idiot kauft sich inzwischen Apple-Produkte, die sind nicht nur zu blöde den Wiederverkaufswert zu halten…da gäbe es noch einiges mehr, aber soweit möchte ich nicht darauf eingehen, ist schon genug Zeit sich durch die Kommentare hier zu graben.
@Fakt: Wenn das keine Sicherheitslücke ist, weiß ich auch nicht, was sonst eine sein soll!
OK, Apple ist ätzend. Wie lautet deine Alternative? Liest du bei Android und Windows mit? Und auch unter Linux haben sich etliche Sicherheitslücken aufgetan. Also wohin? Ich fühle mich bei Apple immer noch mit am Sichersten aufgehoben. Und BTW: bai allen anderen Sicherheitslücken kommt von den Fanboys immer sofort ein „absolute Sicherheit gibt es nicht“. Korrekt.
Sicherheit ist nur eine Illusion.
„Kein System ist sicher“.
Taucht der „Lauschanruf“ eigentlich in der Anruferliste auf ?
Oder bleibt solcher komplett unentdeckt.
Unentdeckt
When the evening shadows fall,
And you’re wondering who to call
For a little company
There’s always…
Die meisten Unternehmen, inkl. Apple, haben dedizierte Kanäle fürs reporten von Sicherheitslücken. Die normalen Wege über Support, Twitter etc. sind weniger geeignet. Eine simple Google Sucher fördert für Apple diese Seite hier zutage:
https://support.apple.com/de-de/HT201220
1. Wer weiß ob sie das selber als Sicherheitslücke ansieht oder nur als Fehler. Nicht jeder hat das Verständnis wie kritisch ein Fehler sein kann.
2. Selbst wenn Sie sich nur an den normalen Support gewählt hat, sollte das normalerweise ausreichen. Allerdings wird gerade beim untersten Support-Level ja am meisten gespart.
3. Sie hat Apple doch auch per Mail kontaktiert. Steht zwar nicht auf welchem Weg, aber kann auch gut der von Apple angegebene sein. Den ich auch schon einmal kontaktiert und null Rückmeldung bekommen habe.
Bitte nochmal drüberlesen. Dieser Beitrag strotzt nur so vor Rechtschreibfehlern.
Da duh si geffunden haßt, gehörän si jezd dier. Nim si mitt unt erfräue dich waiterhinn darann.
Ich finds echt gut, dass Apple weniger Gewinn macht als erwartet. Echt verdient, dass sie mal einen Schuss vor den Bug bekommen.
Das ist kein Bug sondern ein Leck! :D :D
Leider geil :)
Unglaublich schon wieder Fehler über Fehler bei Apple! Für was kassieren die eigentlich ab, wenn doch doch nur … raus kommt.
Ich glaube das ist ein Manko bei allen großen Unternehmen. Die Öffentlichkeit richtig zu behandeln.
Aus Schadenersatz Sicht muss Apple wohl so handeln.
In der Regel gilt ersatzpflichtig ab Tag der Kenntnisnahme. Ohne öffentliche Reaktion hat ein Unternehmen Zeit den Fehler zu verifizieren und die Behebungsoptionen zu durchdenken.
Endlich mal ein Kommentar welches plausibel ist und Sinn ergibt.
*insert THANK YOU Meme*
Gut, wäre ich ein Verschwörungstheoretiker würde ich glatt behaupten, dass sich irgendwelche Geheimdienste diesen Fehler gekauft haben um irgendwo auf der Welt irgendwelche Politiker oder irgendwelche Menschen des öffentlichen Lebens auszuspionieren.
Die lassen sich so etwas eine ganze Menge kosten.
Soviel Programmierer, die an so etwas arbeiten und doch wohl ständig testen und keinem ist der Fehler vor der Veröffentlichung aufgefallen.
Aber, ich bin auf kein Fall ragend so ein Verschwörungstheoretiker
… auf keinen Fall… soll es heißen.
Unglaublich dieses Vorgehen und die Rechtfertigung einzelner Nutzer hier !
Wenn ein Fehler bei eurer Bank wäre, würdet ihr solch ein ähnliches Vorgehen sofort anprangern, ganz gleich ob es erst einige Wissen (wie sie euch beklauen können) oder viele durch publik machen
Was für ein total arrogantes Verhalten und Denkweise
Oh Apple!!! Was ist nur los bei euch?
Sie schreibt was von „Fax“…. ist das wieder so ein neumodisches Zeugs? Wie soll man da hinterherkommen?
In den meisten Unternehmen wird weiterhin mit Fax gearbeitet. Damit erreicht man die Mitarbeiter am schnellsten und sie haben gleich ein Dokument als Nachweis zur Hand ohne den extra Umweg über E-Mail ausdrucken zu gehen. Aber das kannst du noch wissen Kevin.
Also egal wie groß ein Unternehmen auch wird, da arbeiten Menschen – und diese machen eben Fehler.
Die Hälfte der hier stänkernden war Public Beta Tester oder sogar Developer und haben den Fehler nicht erkannt. Und das sind Millionen. Klar, bei Apple sollten gute Programmierer arbeiten und vor allem bei Apple sollte ein gutes Qualitätsmanagement vorhanden sein, aber es gibt nun mal kein besseren Test für Software als das „echte Leben“. Wie viele Millionen Menschen haben FaceTime Gruppenanrufe genutzt und es ist einfach keinem aufgefallen.
Dennoch, Apple sollte das Problem schleunigst beheben.
Das ist doch normal hier. Die ganzen Hater erwarten halt, dass Apple besser ist als die anderen. Dabei arbeiten da auch nur Menschen.
Wer aus dem root bug von 10.12 nichts gelernt hat gehört verklagt.. Damals war es das selbe. 10 Bug Reports gesendet und dann erst reagiert als jemand es auf Twitter gepostet hat. Was bringt mir Privatsphäreb PR Quatsch wenn die Software und Fehlerbehebung von Sicherheitslücken aus der Steinzeit stammt?
Natürlich macht jeder Fehler. Nur wenn man ständig mit dem Finger auf andere zeigt und Datenschutz als Aufhänger für Werbekampagnen nutzt, dann wäre nicht nur zu erwarten, dass so etwas nicht passieren kann, sondern auch, dass man jeden noch so kleinsten Hinweis darauf ernst nimmt. Ist ja nicht so dass Apple kein Geld hätte, aber beim Support baut Cook ja auch seit Jahren konsequnt ab dennoch.
Wie soll Apple denn alles unter einen Hut bringen? Die Hater sind doch sofort in den Startlöchern. Keine Innovation? Böses Apple. Fehler in der Software? Böses Apple. Höhere Preise? Böses Apple. Weniger Gewinn? Schlechtes Apple.
Apple muss da ja einen Mittelweg finden. An der Qualitätskontrolle kann man da am besten sparen. Die Fehler werden ja nur auf Seiten wie dieser breit getreten.
@Peter
Also zunächst muss ich dir beim letzten Punkt komplett zustimmen – auch ich hab das subjektive Gefühl, der Service von Apple werde immer schlechter.
Beim anderen Punkt kann ich die Kritik an sich verstehen, wer immer auf Datenschutz pocht sollte dafür sorgen, dass dieser auch eingehalten wird. Aber es ist dennoch ein Unterschied zwischen a) Ich verkaufe keine Daten weiter a la Apple und b) mein Geschäftsmodell ist es mit Werbung und Verkauf von Kundendaten Geld zu machen a la Google.
Und wenn es bei Apple ein Datenleck gäbe ( was der FaceTime-Bug in Wahrheit absolut nicht ist – der wird hier grad nur wegen dem Beiwort Apple schön aufgebauscht) wäre das schlimm aber würde ja nicht bedeuten, dass ihnen Datenschutz plötzlich nicht mehr wichtig sei. Ich gebe meine Daten lieber an jemanden der mir versichert, dass nach seinem Ermessen die Daten geschützt und bei ihm bleiben, auch wenn es dann mal nicht klappt, als jemandem wie Google, der Datenschutz nicht mal kennt.
Und bevor hier wieder jemand behaupten will Google würde die Daten nicht weiterverkaufen, spart es euch bitte und debattiert ob es den Osterhasen gibt oder nicht – hätte mehr Sinn.
@Unai
Was bringt es dir wenn jemand versichert, dass nach seinem Ermessen die Daten geschützt sind und bei ihm bleiben? Wann bringt mir eine solche Versicherung, wenn das bedeutet dass Apple 10 Tage lang Facetime laufen lässt und Anwaltsgespräche mitgelauscht werden können?
Und ob das „nur“ 10 Tage waren wird sich auch erst die nächste Zeit zeigen, die Mutter des 14. Jährigen hat es ja als Bug gemeldet und er wurde als Duplikat geschlossen.
Ich erwarte nicht dass eine Firma fehlerfreien Code produziert, das schaffe ich genauso wenig wie Apple. Aber ich erwarte dass bei kritischen Problemen deutlich schneller reagiert wird.
Ich arbeite in einem ähnlichen Marktsegment (Videokommunikation) und kann nur soviel sagen: Wenn bei uns ein Nutzer meldet dass sowas vorgefallen ist, dann werden alle Ressourcen umgelenkt, koste es was es wolle.Und wenn der Vorfall nach ein paar Stunden noch nicht verstanden ist, wird das System abgeschaltet bis die Lösung klar ist.
Und genau deswegen wird die Firma in der du arbeitest nicht mal ansatzweise in Apples Welt mitspielen, denn da kommen wahrscheinlich täglich 10 mio Anfragen/Probleme von denen 9.999.999 „selbstverschuldet“ sind und in Wahrheit keine wirklichen Bugs.
@Unai
Sicher spielt mein Arbeitgeber nicht in der gleichen Welt. Aber auf den Unternehmensgewinn normiert investiert mein Arbeitgeber wahrscheinlich mehr in Entwickler und technisch versiertes Personal. Aber seis drum.
Die 10 Mio Anfragen die du nennst sind ja wahrscheinlich nur aus der Luft gegriffen oder gibt es dazu genaue Angaben?. Mir fehlt leider die Einsicht in Apples Bug Datenbank um die tatsächliche Anzahl zu sehen.
Ich denke wir können uns aber auf folgendes einigen: Es wurde ein Bug Report angelegt und dieser wurde von einem Mitarbeiter als Duplikat markiert. Das lässt drei Fakten schlussfolgern:
– Jemand hat den Bug Report gelesen
– Jemand anderes hat bereits den gleichen Bug gemeldet
– Auch dieser andere Report wurde gelesen
Die Begründung mit der Flut an Bug Reports ist also nicht haltbar, egal wie viele es wirklich sind.
Die Erde hat auch mal einen Fehler gemacht, der Ihr Untergang sein wird: Mensch.
Das mindeste was ich von Apple erwarte ist, dass sie nicht nur den Bug fixen, sondern vor allem in den Logs nachschauen, wer alles „Opfer“ des Bugs wurde und diese Personen vollständig informieren. Ein Bug der so einfach reproduzierbar ist macht ja auch schnell seine Runde in Bereichen des Internets in denen das nicht gemeldet wird. Wer weiß wie lange das schon ausgenutzt wird…
Bekannter Sicherheitsforscher / Hacker deckt eine Lücke auf: Medien geilen sich daran auf, zwanzig Berichte pro Stunde darüber, lokale Zeitungen berichten darüber
Eine ganz normale Privatperson entdeckt eine Lücke (bzw. hier sogar der 14-jährige Sohn der Twitter-Nutzerin): Nobody cares.
Habe mir damals schon mal überlegt, was eigentlich wäre, wenn ich jetzt zufälligerwiese eine Sicherheitslücke entdecke und sie nicht öffentlich darlegen will (im Sinne von „wie man sie ausnutzt“).
Apple selbst (oder auch andere Konzerne) werden das wohl kaum ernst nehmen. Medien? Die bekommen doch jeden Tag hunderte von Mails (summiert). Warum also über eine vermeintliche, unbestätigte Sicherheitslücke berichten, wenn es noch „dramatischere“ Fälle gibt? Hmm.
Gibt immernoch die möglichkeit sowas bei HackerOne oder BugCrowd zu melden.
Wenn man richtig Geldgeil ist alternativ bei Zerodium anklopfen
Wie schon erwähnt es gibt eine eigene Adresse die sich um das BugBounty kümmert und wie ebenfalls erwähnt kommt am Tag ne Menge scheiss.
Bei den Big Playern ist er normal das es länger dauert bis ne Antwort kommt aber dafür bekommt man auch Kohle wenn man die Klappe hält bis es Gefixed wurde.
Außerdem schaut mal auf den „Hackerkonferenzen“ Wieviele mit nem Mac und nem IPhone rumlaufen.
Bei Apple kann man sich zumindest sicher sein das man für sein neu erworbenes gerät mindestens 4 Jahre Sicherheitsupdates bekommt.
Zeigt mir irgendein Android (Nexus Geräte ausgenommen) wo man in diesem Zeitraum Updates kriegt