Schwere Sicherheitslücke: Apple deaktiviert Gruppen-FaceTime
Eine Sicherheitslücke in Gruppen-FaceTime hat es offenbar ermöglicht, dass ein Anrufer schon auf Audio und Audio und Video eines Angerufenen zugreifen konnte, bevor dieser das Gespräch angenommen hat. Apple hat Gruppen-FaceTime mittlerweile komplett deaktiviert.
Zunächst war strittig, ob der Fehler nur das Audiosignal oder auch schon die Aufnahmen der integrierten Facetime-Kamera vorzeitig freigibt. Das Onlinemagazin Buzzfeed bestätigt Letzteres im unten eingebetteten Video.
— nic nguyen (@itsnicolenguyen) 29. Januar 2019
Die Audioübertragung lässt sich starten, ohne dass das Gegenüber das Gespräch annimmt, indem man zunächst eine andere Person anwählt und daraufhin seine eigene Nummer als weiteren Teilnehmer hinzufügt. Offenbar genügt es nun, wenn der Empfänger lediglich die Lautstärke des Geräts verändert, um auch das Videosignal freizugeben.
In einer ersten Stellungnahme gegenüber Buzzfeed hat Apple mitgeteilt, dass man sich des Fehlers bewusst sei und bereits eine Lösung vorbereite, die im Rahmen eines Software-Updates noch diese Woche verteilt wird.
Zudem wurde Gruppen-FaceTime mittlerweile deaktiviert. Im Systemstatus wird der Dienst als Problem markiert:
Benutzer stoßen beim oben aufgelisteten Dienst auf ein Problem. Wir untersuchen dieses Problem und werden den Status aktualisieren, sobald weitere Informationen verfügbar sind.
Gruppen-FaceTime wurde später als geplant erst im Oktober vergangenen Jahres mit iOS 12.1 freigegeben. Ursprünglich war die Funktion direkt für iOS 12 angekündigt. Erst vergangene Woche wurde mit iOS 12.1.3 ein FaceTime-Fehler behoben, der es einem Angreifer zumindest theoretisch ermöglichte, einen FaceTime-Anruf zu initiieren, der ein willkürliches Ausführen von Code verursacht
Wer testet dort eigentlich (noch)?
Wahrscheinlich outgesourced an Microsoft. ^^ Die haben ja sogar für ihr Pay OS 4 mal das letzte Major Update zurück ziehen müssen. :D
Die Millionen Public Beta Tester auf jedenfalls nicht.
Die Developer Beta Tester dann aber ebenfalls nicht?!
Der öffentliche Betatest ist sowieso sinnlos. Da meldet kaum einer „echte“ Fehler! Er dient hauptsächlich den Freaks die auf der Straße rumhüpfen und angeben sie hätten das neueste iOS mit den „amazing new features“…
Ich kann mich nicht daran erinnern, wann mich das letzte Mal jemand auf der Straße angehalten hat und mir sein iPhone mit dem neuesten iOS gezeigt hat. Habe ich wahrscheinlich nur vergessen.
Hahahaha
@sk0711
Stimmt die Developer auch nicht, jedoch mache ich den weniger einen Vorwurf. Die sollen in meinen Augen schauen, dass Ihre eigenen Apps auch unter den neuen iOS bzw. Update dann funktionieren.
@André
Ein bisschen ist hier auch Apple Schuld, ich habe Anfangs da mal mitgemacht und habe Fehler reportet. Bis heute sind diese noch als offen in der Feedback App, wenn ich das Beta Profil mir wieder installiere und somit an diese Feedback App komme.
Warum also dann noch weiter reporten, wenn es kein Feedback gibt und auch oft mehre iOS Versionen dauert bis diese Fehler ausgebessert sind? Und es sind/waren nur kleine Fehler wie Kosmetische oder Übersetzungsfehler.
@Grufty
Straße ist hier nun einfach nur ein Synonym für X Belieben Ort wo diese sich so treffen und Freaks für Kiddies.
Also
Es dient hauptsächlich den Kiddies die auf dem Schulhof rumhüpfen und angeben sie hätten das neueste iOS mit den „amazing new features“
Joop, sehe ich genauso.
Ich konnte zu Anfang iOS12 auf mehreren iPhones einen kompletten iPhone-Freeze reproduzieren in Verbindung mit FaceTime.
Alle Schritte haargenau mitgeteilt womit es zu 100% zu reproduzieren ist und dann gingen die mir noch auf den Keks mit Logs ziehen etc…
Wenn man wirklich wert auf Privatsphäre legt, müsste sowas bei einem simplen Unit-Test doch auffallen. Ist ja nicht so, dass der Fehler nur auftritt wenn gerade Vollmond ist und man gleichzeitig gerade auf dem Kopf steht.
hat bei mir noch nie richtig funktioniert …. das kann weg
Spannend, dass das Feature Gruppen-FaceTime einfach aus der Ferne abgeschaltet werden kann..
Ich denke das geht deshalb, weil Gruppen FaceTime nicht über P2P läuft sondern vll. über die cloud. Und wenn Apple dann einfach den Server deaktiviert, ist der Dienst nicht verfügbar.
Bei einem normalen FaceTime Anruf wird eine direkte Verbindung zwischen zwei Teilnehmern hergestellt.
Bin mir überhaupt nicht sicher in meiner Aussage. Aber ich könnte es mir so erklären.
Ich kann bestätigen, dass Gruppen-FaceTime nicht P2P ist, sondern über Apples Server läuft. Hatte mir das schon mal in Wireshark näher angesehen.
Naja. Sie müssen ja nur den service auf ihren servern ausschalten
verstehe, was du sagen willst: ist wohl kein peer-to-peer. also genügt es, die entsprechende server-komponente bei apple zu deaktivieren. ein eingriff auf die endgeräte aus der ferne ist dazu nicht nötig.
Was mich wunder ist, als die Frau „David“ anruft wird noch ein zweiter Teilnehmer „Nicole“ hinzugefügt. Dann werden beide Telefon aus dem Bild genommen und auf einmal ist das vermeintliche Bild von „David“ zu sehen? Haha… Die Bilder auf beiden Telefonen sind nicht 100% identisch. Für mich ein Fake. Da wurde das Video gut zusammen geschnitten. Und nur weil G-FT auch gerade wirklich deaktiviert wurde heiß es noch nicht das da wirklich dieses Problem hinter steckt.
Oje wie fanboy kann man eigentlich sein?! Apple hat den Fehler bereits bestätigt, steht auch im Text!
Kannst du mir sagen, wo Apple genau bestätigt hat, dass es sich genau um diesen „Fehler“ handelt? Du kannst ja mal bei Google nach dem Grund suchen?
Zum Beispiel:
https://www.faz.net/aktuell/wirtschaft/diginomics/apple-deaktiviert-gruppenanrufe-bei-facetime-16013484.html
Da steht nur, dass Apple sicher gehen will, dass es nicht wirklich so ist und hat es deswegen den Dienst erst einmal abgeschaltet.
Fanboy lass ich einfach mal so stehen.
Die „FAZ“ als IT-Fachmagazin? Die schreiben eher wo falsch ab. In dem von iFUN verlinkten Artikel steht wörtlich Apple sei aware of this issue and we have identified a fix that will be released in a software update later this week
Also DIESER Fehler bekannt und man habe schon eine Lösung gefunden
Artikel gelesen?
danke, endlich jemand der das genauso sieht. es wird sich zu viel auf die sozialen medien verlassen und zu wenig hinterfragt. verdächtig ist das auf jeden fall, dass das gerät aus dem bild genommen wird. auch das mit bild dass es nicht zu 100% identisch ist passt absolut!! bisschen mehr die inhalte hinterfragen und nicht allem blind vertrauen…
Und du meinst Apple hat das ungetestet abgeschaltet?
@Marc: Klar, bei Apple arbeiten nur Idioten, die ein Fake nicht erkennen, dass abschalten, bestätigen, dass man das Problem erkannt hat, und einen Patch dafür raus bringen.
Die cleveren Fanboys, die einen Fake daran erkennen können, dass Apple ein Fehler unterstellt wird werden seltsamerweise nicht gefragt.
Eventuell hat sie einfach nur ihr Mikrofon ausgemacht. Und Bilder können nicht synchron sein … da ist immer eine minimale Verzögerung.
Sie haben die Handys voneinander entfernt da es zu Rückkopplungen gekommen ist.
hast du es überhaupt verstanden @VEIT? DIE FRAU IN DEM VIDEO FÜGT SICH SELBST (NICOLE) HINZU… Dadurch wird der Fehler überhaupt ausgelöst… steht alles im Artikel.
Oh Apple… und das ganze dann noch mit ner großen Elvis- Kampagne beworben… peinlich
„Only Apple“ xD
Gut das Tim Cook zu gestrigen Data Privacy Day noch richtig einen raus haut wie wichtig Sicherheit ist und wie weitreichend die Konsequenzen sein können…
Immerhin schnell reagiert
Widerspricht sich ja auch nicht.
Sonst hätte man es von vorneherein so gemacht.
Natürlich widerspricht es. Ich, da hast du recht, jedoch habe ich öfter das Gefühl er und Apple fühlen sich unfehlbar und sind die einziger die aus alles achten
Wie kommst Du darauf?
Den Eindruck vermitteln sie mir nicht.
Nur weil sie auf den Produktpräsentationen ihre Produkte als besonders gut hervorheben und ansonsten auch Werbung für Ihre Produkte machen?
Wenn dem nicht so wäre, hätten Sie ihre Jobs nicht.
Würde Apple keine Fehler eingestehen hätte es zum Beispiel das Akku Programm nicht gegeben etc. pp.
„You´re holding it wrong“. Das waren Zeiten, in denen man Fehler (erst sehr spät) eingestanden hat.
@rover – wie Recht du hast. Ich würde auch sagen, großen Respekt an Microsoft und Google, denn mit diesen Nutzerzahlen umzugehen ohne großen „Skandale“ verdient mal wirklich ein Lob.
@ardiano Wo lebst du denn? Gerade Microsoft hat das letzte halbe Jahr größere Skandale mit Windows. Hier wirst du nix von lesen. :D ich empfehle heise als Quelle
Aktuell sind bei Microsoft gerade Sicherheitslücken im Exchange. Die 3-4 mal zurück gezogene Windows Update war aber der Knaller schlecht hin!
@heini: Das vergessen hier viele. Man liest hier fast nur über Apple. Ist ja schließlich eine Apple Seite. Microsoft ist bei Updates auch extrem schlecht aktuell. Hier in den Kommentaren hat man oft das Gefühl, dass nur Apple so einen Misst abliefern würde.
Andersrum hat Apple es da wirklich leichter. Erstmal haben die viel weniger Nutzer, Windows muss auf verschiedenen Systemen laufen und bei Skype for Buisness können die nicht einfach mal die Konferenzen abschalten. Da gäbe es im professionellen Umfeld mehr Probleme als bei iOS-Geräten.
Du sagst es doch selbst, schnell reagiert. Also passt die Aussage von Cook doch.
Wäre Ihnen Sicherheit nicht wichtig, hätten sie diese Option aktiviert gelassen bis zum nächsten Update aber das haben sie nicht. Sie haben reagiert so wie zumindest die Öffentlichkeit von diesen Bug erfahren hat über die Medien.
Schon lustig die Ganzen Hater.
Ne Ahnung wie Komplex solche Systeme sind ?
Bei Apple werden sie schnell gepatcht,bei Android finden sich solche Fehler Jahrelang da es kein Update gibt. Also so what ?
Ist aber auch nur die halbe Wahrheit. Wenn du ein Android Gerät von Google nimmst oder eines der Android One Geräte, hast du die Updates auch ganz schnell. Im Android Universum tut sich da teilweise was…
Allgemein finde ich Tim Cooks Twitter verhalten sehr amüsierend. Wenn er Twitter
– ist jemand tot
– ein Feiertag
– oder Apple und seine Produkte einfach nur amazing
Zu den Themen:
– nette Geste
– gute Info
– die „absolute“ Wahrheit!!!
Soll er wie die ganzen “ Influencer“ (übrigens sehr gut dass es so verwandt mit Influenza ist, denn als Krankheit sehe ich diese Influencer an), sein Mittagsessen posten?
Bei der Gelegenheit könnten sie auch relativ zeitnah die Datenübermittlung diverser Fremd-Apps mittels Tracker und derlei anderes unterbinden oder rigide das “Nach-hause-Telefonieren” an eine Zustimmung innerhalb der App koppeln.
Erst dann ist ihr Privacy-Gerede für mich glaubwürdig.
Interessant. Den Bug hatte ich auch vor 2 Wochen und habe dann Apple angerufen. Der Mitarbeiter wollte mir aber nicht glauben, dass ich den Fehler gleich mehrmals wiederholen konnte. Zum Glück hatte ich nur meine Eltern angerufen und nicht Fremde :D
Wer ist über 50 und kann sich noch an die Quicktime Developer CDs erinnern?
Dort gab es einen Film über das Labor der Qualitätssicherung von Apple.
Rack an Rack mit allen je gebauten Apple Rechnern auf dem alle neuen Programme von Apple getestet werden.
„This is where it all happens“ begann der Mitarbeiter seinen Vortrag.
Hat noch jemand das Video oder die ganze QT CD? Bitte mal melden
Die Zeiten sind scheinbar vorbei.
Unvergesslich war auch das Video „Engeniers in the Shower“
gleichzeitig sind die Geräte aber auch sehr viel komplexer geworden und die Userzahl ist immens (!!!!) gestiegen.
Je mehr Menschen mit etwas umgehen, desto eher gibt es nicht bedachte Herangehensweisen an Funktionen. Mal ehrlich, wer von uns wäre schon darauf gekommen jemanden per FaceTime anzuklingeln und währenddessen sich selbst zu FaceTime einzuladen? Und dann muss das Gegenüber noch zufällig lauter oder leiser drücken UND man muss das überhaupt erstmal wahrnehmen, dass derjenige den Call noch gar nicht angenommen hat, hätte er es wäre das Ergebnis ja exakt das selbe.
Und dann muss man in der QA mitbekommen was gemacht wurde um den Fehler nachzuvollziehen.
Klar, es ist ein Fehler und klar sollte das vermieden werden.
Aber ich bezweifel, dass selbst 500 Tester mehr diesen Fehler gefunden hätten.
„What happens on your iPhone, stays on your iPhone.“
Diese Aussage ist ja von der aktuellen Problematik überhaupt nicht kompromittiert.
Stimmt das was der User vor dem iPhone macht, ist ja was anderes als was auf dem iPhone passiert.
Ich finde die Reaktionen auf die negativen Meldungen hier ja auch teilweise übertrieben. Aber die Rechtfertigungen für die Fehler sind schon zum Fremdschämen.
Apple macht Fehler, wie jeder, und die stehen im kompletten Widerspruch zu deren Marketing.
It’s a feature.
Ich erschrecke mich fast jedes Mal wenn ich einen Facetime-Anruf bekomme vor meinem eigenen Bild. Kürzlich hatte ich das iPad im Bad, weil ich nebenbei nen Video2Brain-Tutorial angeschaut hatte. Es Stand aufrecht auf der Waschtischkonsole. Auf einmal geht ein Anruf einer Freudin ein und ich seh mich nackt im Display und seh nur „Facetime“. Ich hatte mich panisch total schnell auf den Boden gehockt. Mir gefällt das überhaupt nicht dass ohne meines Handeln einfach die Kamera aktiviert wird und mich auf dem Display zeigt. Weiß jemand ob diese Daten bereits zu Apple auf die Server übertragen werden oder es ohne Aufbau der Verbindung lokal am iPad verbleibt? Trotzdem kein schönes Gefühl – besonders wenn man jetzt sowas liest.
Was mir auch schon passiert ist: Ich nutze das iPad, klicke hastig, Facetime-Anruf geht ein und ich drück in der Sekunde genau da wo man das Gespräch annimmt. Da Saß ich gerade verschlafen im Bett.
Nein, es verlassen im Normalfall keine Daten dein Gerät, bevor du den Anruf annimmst. Bei Anrufen mit nur einem Gesprächspartner, wird auch während des Gesprächs nichts auf die Server von Apple übertragen. Der Videostream wird auf direktem Wege auf das Gerät des Gesprächspartners übertragen, also Peer-to-Peer. Bei Group-FaceTime laufen die Daten dagegen zwar über die Apple Server, aber die Daten sind immer verschlüsselt, sodass Apple nichts davon sehen könnte.
What happens on your iPhone stays on your iPhone ;)
Und hier wird immer über Google gemeckert, dabei ist mir bei Google noch kein einziger Daten/Sicherheits Skandal aufgefallen, bei Apple hingegen gibt es fast jedes Jahr einen….
Mich stimmt das traurig.
Nein bloß nicht ^^ Google hat ständige Darenskandale. Beispiel: Google +. Deswegen wollen die das Netzwerk nun vorzeitig schließen. Ungepatchte Android-Systeme sind schon ein einziger Datenskandal. :D
Und wenn es dir Spaß macht dan suche mal nach Google Chrome Datenskandale. Da gibt es auch genug. Ich sag nur eingebauter „Virenschutz“
Gruppen-FaceTime nie benutzt aber trotzdem traurig. Viele von uns haben mal mit dem Finger auf Android gezeigt, Heute zeigen die Android User auf uns.
Sicherlich ist Apple immer noch sicherer als Android, aber wir – die Appleaner holen auf, traurig.