Apple entschuldigt sich bei Sicherheitsforscher für verspätete Rückmeldung

Letzte Woche machte der Sicherheitsforscher Denis Tokarev auf mehrere Zero-Day-Sicherheitslücken in iOS öffentlich aufmerksam, nachdem er festgestellt hatte, dass Apple seine Berichte ignoriert und die Probleme mehrere Monate lang nicht behoben hatte. Nun meldet er sich ein weiteres Mal zu Wort und gibt zu verstehen, dass sich Apple mittlerweile bei ihm gemeldet und sich für die späte Reaktion entschuldigt hat.

Apple arbeitet an Behebung von iOS-Sicherheitslücken

Tokarev erklärte gegenüber Motherboard, dass Apple sich mit ihm in Verbindung gesetzt hat, nachdem er mit seinen Beschwerden an die Öffentlichkeit gegangen war und ein großes Medienecho ausgelöst hatte. In einer E-Mail entschuldigte sich Apple für die Verzögerung bei der Kontaktaufnahme und erklärte, dass das Unternehmen die Probleme „noch immer untersucht“. In dem Schreiben heißt es:

„Wir haben Ihren Blogbeitrag zu diesem Problem und Ihre anderen Berichte gesehen. Wir entschuldigen uns für die Verzögerung bei der Beantwortung Ihrer Anfrage. Wir möchten Ihnen mitteilen, dass wir diese Probleme noch untersuchen und prüfen, wie wir sie lösen können, um unsere Kunden zu schützen. Nochmals vielen Dank, dass Sie sich die Zeit genommen haben, uns diese Probleme zu melden, wir wissen Ihre Unterstützung zu schätzen. Bitte lassen Sie uns wissen, wenn Sie noch Fragen haben.“

Mehrere Sicherheitsforscher und Tokarev selbst bestätigten, dass die Fehler nicht kritisch sind, da ein Ausnutzen dieser Fehler voraussetzen würde, dass eine bösartige App zuerst die Genehmigung des App Store erhält. Um eine der gemeldeten Schwachstellen konnte sich Apple bereits in iOS 14.7 kümmern. Drei weitere Schwachstellen wurden noch nicht behoben, darunter ein Fehler im Game Center, der es angeblich jeder App, die aus dem App Store installiert wird, ermöglicht, auf die vollständigen E-Mail-Adressen und Namen der Apple-ID, die Authentifizierungs-Tokens der Apple-ID, Listen von Kontakten und einige Anhänge zuzugreifen. Details zu den Zero-Day-Schwachstellen werden von Tokarev in seinem Blog im Detail behandelt.

Immer mal wieder gibt es Diskussionen, wie sicher ein System ist. Damit meinen wir nicht nur Windows oder Android, auch zu iOS oder macOS werden immer mal wieder Schwachstellen bekannt, die gestopft werden. Zahlreiche Anwende setzen mittlerweile auf einen VPN (was ist ein VPN?). Dies ermöglicht euch beispielsweise eure IP-Adresse zu verbergen, es erhöht die Sicherheit im öffentlichen WLAN, ihr habt Zugriff auf normalerweise blockierte Webseiten, könnt Streaming-Dienste nutzen, die normalerweise nicht nutzbar sind etc. pp. Mittlerweile gibt es mit NordVPN, Surfshark, WeVPN und Co. diverse Anbieter am Markt.

Ivan Krstić, Leiter der Abteilung für Sicherheitstechnik und -architektur bei Apple, sagte bereits im Vorfeld, dass Apple ein „neues Belohnungssystem für Sicherheitsforscher plant“, um die Belohnungen zu erhöhen. Apple kann und muss daran interessiert sein, das sogenannte Bug Bounty Programm zu erweitern, um schlicht und einfach den Anreiz für Sicherheitsforscher zu erhöhen. Auch Apple selbst arbeitet hinter den Kulissen daran, neue und noch bessere Forschungswerkzeuge anzubieten. Regelmäßig lassen sich zudem die Entwickler in Cupertino neue Sicherheitsmechanismen einfallen, um die Sicherheit rund um iOS, macOS, watchOS und tvOS zu erhöhen. Schlussendlich ist es aber auch immer wieder ein Katz und Maus Spiel zwischen Apple und Hackern.

Die andere Seite der Medaille ist zudem, dass Sicherheitslücken zeitnah geschlossen werden. Oftmals ist Apple schnell bei der Sache und schiebt Updates dazwischen, mit denen Bugs und Sicherheitsprobleme beseitigt werden. In dem hier konkret genannten Fall scheint man allerdings mehr Zeit zu benötigen. Warum auch immer.