Gemeldete Schwachstellen nicht gestopft
Sicherheitsforscher nimmt Apples „Entschuldigung“ nicht an
Vergangene Woche haben wir darüber berichtet, dass sich Apple erneut mit harscher Kritik aus Kreisen von Sicherheitsforschern auseinandersetzen muss. Offenbar haben die negativen Schlagzeilen in diesem Zusammenhang nun dazu geführt, dass sich Apple doch noch zu dem Thema geäußert hat.
Ein anonym auftretender Sicherheitsforscher hatte berichtet, dass er insgesamt vier sogenannte Zero-Day-Schwachstellen bei Apple gemeldet hat, jedoch trotz mehrfacher Nachfrage keinerlei Reaktion darauf erhalten hat. Eine der Schwachstellen hatte Apple offenbar stillschweigend behoben, die anderen drei seien auch in iOS 15 weiterhin präsent und nicht ohne Substanz. Unter anderem ist es Apps demnach möglich, ohne Zustimmung des Nutzers auf persönliche Informationen über diesen zuzugreifen, und zudem zu überprüfen, welche weiteren Apps auf dem betreffenden Gerät installiert sind.
In einem neuen Blog-Beitrag berichtet der Entdecker der Schwachstellen nun, dass Apple sich nun doch noch bei ihm gemeldet habe. Man hätte „seinen Blog-Post gesehen“ und entschuldige sich für die verspätete Kommunikation. Das Problem werde weiterhin untersucht.
Bild: illusionofchaos
Apple ging in seinem Schreiben allerdings weder darauf ein, dass die Meldungen schon seit geraumer Zeit vorliegen, noch auf den Umstand, dass eine der Sicherheitslücken gestopft wurde, ohne dies entsprechend zu dokumentieren. In der Folge macht der Sicherheitsforscher seinem Ärger in einem ergänzenden Blog-Beitrag Luft, und geht detaillierter auf die seiner Meinung nach mangelhafte Sicherheit des App Store und das auf Basis seiner Entdeckungen vorliegende Missbrauchspotenzial ein.
Schnüffel-Apps können unbemerkt persönliche Infos abgreifen
Insbesondere der oben angesprochene App-Fehler könnte durchaus schwerwiegende Folgen haben. Die Neugier unseriöser Entwickler mal beiseite gelegt, ließen sich auf diesem Weg beispielsweise auch Aufschlüsse über die sexuelle Orientierung der Nutzer oder dergleichen gewinnen. Eine App könnte demnach vom Anwender unbemerkt prüfen, ob die in der Gay-Community beliebte Anwendung Grindr auf dem iPhone präsent ist und daraus entsprechende Rückschlüsse auf den Nutzer ziehen.
Auch mit Kritik an Apples App-Store-Prüfern wird in dem Blog-Beitrag nicht gespart. So wird der Review-Prozess dahingehend beschrieben, dass irgendein Apple-Mitarbeiter die App lädt, sich durch die Bildschirme tippt und dann auf seinem eigenen Verständnis von Apples Entwickler-Richtlinien, oft gar unter Einfluss seines subjektiven Empfindens darüber entscheidet, ob die Anwendung freigegeben wird.
Ein Beispiel hierfür haben eben erst gesehen, als ein Entwickler seine Hangman-Version für blinde iPhone-Nutzer nicht aktualisieren durfte, weil man bei Apple plötzlich einen Verstoß gegen die Entwickler-Richtlinien ausgemacht hatte.
This link is better for sharing. I don't know what to do about this app review process for accessible Hangman pls help https://t.co/Yv4UWOSmcH
— Oriol Gómez sentís (@oriol_gomez92) September 26, 2021
Mein schönes Apple Universum bröckelt…
Jetzt?
Heute?
Warum?
Dann sollte er erwachsen damit umgehen und sich künftig Android widmen. Ende.
Nonsens.
Wir können solchen Leuten gar nicht genug dafür danken, dass sie eklatante Fehler aufzeigen und sich auch nicht von bloßen Lippenbekenntnissen blenden lassen!
Und ich hoffe, dass sie nicht nur bei Apple, sondern auch im Android-Lager, bei MS, Regierungen und sonstwo „rumstochern“!
Sehe ich exakt genauso. Es kann nicht sein, dass das nur mit einer wegwerfenden Handbewegung abgetan wird. Wir haben schon genug Stellen, die angeblich berechtigte Interessen haben, legal Infos abzugreifen, da will ich nicht noch eine Dunkelziffer haben, welche auch Infos von mir verkauft. Wenn, dann will ich diese Infos wählen dürfen, welche sie haben können.. (man wird ja noch träumen dürfen)
Lisbeth, er unterstützt so, dass die Community einen Vorteil dadurch erfahren kann. Er könnte die Informationen auch auf dem Schwarzmarkt anbieten. Das wäre sicher einfacher und monetär gesehen für ihn effektiver.
Diese Haltung Apples gleicht einer Verweigerung der Einwände aus der Community. Es sind Sicherheitslücken!
Wenn du das anders siehst, dann teile hier doch bitte alle deine Fotos oder Apps. Ist ja scheinbar kein Problem für dich.
Es gibt nunmal auch Menschen, die einen positiven Beitrag leisten und hinter Apples schön aufgestellten Werbeplakaten schauen.
Das ist ein Beitrag für alle. Dein Beitrag, diskreditiert genau diese Menschen. Womit er sich direkt für’s Aus qualifiziert.
Wenn jemand solch schwerwiegende Lücken entdeckt, dann sollte er auch entsprechend honoriert werden!
Das kommt uns allen zu Gute!
Und geschlossen werden!
Für solche Antworten sollte es einen Nachuntendaumen geben, Lisabeth.
Interessant, wie ihr die These „warum sollte er sich engagieren, wenn es für ihn keinen Vorteil bringt, weil der Konzern sich nicht drum kümmert“ zu „er muss sich unbedingt weiter drum kümmern, weil WIR etwas davon haben“ gedreht habt, ohne zu beachten, dass es im Kern um das Problem geht, dass Apple sich eben nicht drum gekümmert hat und er damit Lebensmühe verschenkt hat, da IHR mangels Reaktion durch Apple eben nichts davon habt.
Also:
1. der Entwickler kann ebenso ein Vorteil davon haben, wenn er selbst iOS verwendet. Ein iOS mit vom Nutzer selbstgestopften Sicherheitslücken kenne ich nicht.
2. er möchte, da die Art die Sicherheitslücken anzuzeigen nicht fruchtet, andere auf diesen Umstand aufmerksam machen und Apples Schein ggf. auch selbst kritischer zu hinterfragen
3. die Art und Weise wie Apple darauf reagiert entspricht nicht dem von Apple selbst nach außen verkörperten Selbstbildnis Apples
4. warum gibt es ein BugBounty Programm wenn kritische Sicherheitslücken in der Sackgasse landen.
5. es gibt Menschen, für die Code antizipierter ist und denen es leichter fällt und somit eventuell auch nicht ganz so viel Engagement verlangt.
6. er präsentiert die goldene Gans auf dem Platinteller und Apple lehnt ignorant ab. Sorry, aber da würde es auch nur so aus mir herausplatzen.
7. es sind nicht alle Menschen pure Egozentriker:innen
Bei Punkt 1 hättest Du aufhören können. Da nur Apple die Lücken stopfen kann, gibt es keine Alternative. Und das tun sie ja unzureichend, wie der Einzelfall zeigt und um den es hier geht. Schon ab Punkt 2 zählst Du Randaspekte auf, die allseits bekannt sind.
Du bist eh die die am besten antizipiert. Wissen wir.
Apple scheint kein Deut besser als Google, Microsoft und Co. Wenn ich sehe, wie viele Fehler in IOS15 bestehen, kann man den Eindruck gewinnen, Apple produziert Hard- und Software ausschliesslich nach vorher definiertem Erscheinungsdatum (Weihnachtsverkauf und Black Friday etc.), vielleicht scheint genau diese Praxis das Problem zu sein. Lasst euch mehr Zeit oder wie mein Opa schon sagte, Gut Ding will Weile haben, in diesem Sinne…
Gut Ding und Weile stimmt.
Dazu kommt auch, dass man auch nachbessert, wenn man Fehler gemacht hat.
Wobei die genannten Firmen und etwas zugeben …
Die teuer verkauften backdoor müssen noch etwas länger offen bleiben. Der Client hat hier sehr viel Geld für die Information hingelegt.
:DDDD
…
zumindest so lange bis die nächste backdoor gebaut ist…
Die müssen erst mit 15.x ersetzt werden
Was sollen denn diese Bemühungen der Sicherheitsforscher? Sehen sie nicht was für Esel völlig veraltete und fantasielose Hardware samt völlig verbugte Software jedes Jahr vorbetstellen und Schlange stehen. Den Leuten scheint es ja vollkommen am Allerwertesten vorbei zu gehen, ob Apple sie für dämlich hält. iOS 15 ist sowas von instabil, und voll mit Bugs, das ist schon wirklich nicht mehr lustig, und überhaupt nicht hinnehmbar. Und dennoch sind neue iPhones ausverkauft. So ist das halt.
Sind wir die es hier „als erstes an der Front“ mitbekommen?
Ich kann es gut nachvollziehen: Vertrauen. Vertrauen in die Aussagen (Marketing). Vertrauen zu meinem Gegenüber (in dem Fall Apple). Vertrauen durch Vergangenheit. Ich bin seit Jahren hier & selbst Apple-Nutzer auf vielen Seiten.
Ich hatte dieses Vertrauensbild, was sich gerade nur als Maske herausstellt, sehr lange.
Es gibt berechtigte Kritikpunkte, aber mit Sicherheit keine veraltete Hardware.
Nehmen wir mal den Prozessor, wenn ein A15 veraltet sein soll, was sind dann erst andere Prozessoren?
Und von Instabilem iOS 15 kann ich seit mehreren Beta Versionen schon nicht mehr wirklich sprechen.
Aber ja, die Software ist nicht mehr so perfekt, wie noch vor paar Jahren. Kann sie auch im Prinzip gar nicht, weil sie inzwischen viel zu umfangreich ist. Aber was hat Otto-Normal Verbraucher bitte für bessere(!) Alternativen? Mit Sicherheit kein Android.
Und ja, so ein Umgang mit Bugs wie hier gehen gar nicht. Aber sollten nicht dazu führen, komplett an den Haaren herbeigezogene und falsche Kritikpunkte irgendwo hin zu posten.
Der A15 ist beispielsweise bzgl. RAM „veraltet“. Es ist immer noch LPDDR4X, dabei gibt es schon seit 2020 Smartphones, die LPDDR5 verwenden. Ob und wie sehr das im Alltag eine Rolle spielt kann ich nicht beurteilen, aber nur als Anmerkung.
Am schlimmsten finde ich wie anschaulich demonstriert wird, dass de facto keinerlei Sicherheitschecks beim App-Review durchgeführt werden.
Dem zentralen Argument für den Monopol-AppStore.
Ohne bleibt nicht viel, außer Willkür und Gewinnmaximierung.
Es wird gar nichts demonstriert. Er behauptet, dass Apps das könnten, hat aber keinen Nachweis erbracht, dass solche Apps durch die Zulassungsprüfung kommen.
Als Kommentar hierzu reichen eigentlich nur die beiden folgenden Worte:
AU WEIA !!! :-<<
Das offensichtliche fällt den Apple Prüfern auf bzw. im automatischen Prozess.
Nicht unerheblich wird der Neid der anderen Entwickler sein diese Konkurrenz direkt wegen dem einen oder anderen genialen Softwaredesign bei Apple anschwärzen.