Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Zero-Day-Lücken publiziert: Apple entschuldigt sich bei Sicherheitsforscher

"illusionofchaos" hatte bereits vor Monaten problematische Schwachstellen in Apple-Systemen gemeldet. Erst nach einem Blogpost reagierte der Konzern.
Apple hat sich per E-Mail bei einem Sicherheitsforscher gemeldet, der zuvor aus Frust gleich mehrere noch unbekannte Lücken für Apple-Systeme veröffentlicht hatte. Die Bugs, die unter anderem
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, waren von Apple seit Frühjahr nur eingeschränkt behoben worden – und die Kommunikation mit dem IT-Security-Spezialisten namens "illusionofchaos" verlief äußerst schleppend.

Apple hat das Blogposting gelesen​

"illusionofchaos", der mit richtigem Namen Denis Tokarev heißt, teilte mit, Apple habe sich per Mail
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Man habe "das Blogposting im Bezug auf dieses Problem und Ihre anderen Berichte" gesehen. "Wir entschuldigen uns für die Verzögerung mit unserer Antwort." Wirklich hilfreich war die E-Mail, die ein Apple-Mitarbeiter zeichnete, allerdings nicht. Der Konzern hat die von "illusionofchaos" entdeckten Bugs noch immer nicht gefixt. "Wir untersuchen [sie] noch und wie wir unsere Kunden am besten schützen können", so der Konzernvertreter lapidar. Er bedankte sich artig, dass sich der Sicherheitsforscher die Zeit genommen habe, sie zu melden.
Apple hatte eines der gemeldeten Probleme in iOS 14.7 behoben, ohne dass es dazu Informationen für die Nutzer (oder gar einen "Credit" für Tokarev) gegeben hätte. Drei weitere Fehler blieben jedoch bestehen, was den Sicherheitsforscher wiederum motivierte, selbst in seinem Blog Disclosure-Maßnahmen zu ergreifen. Auch hat er bislang offenbar
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Apples Entschuldigung ist zudem nicht die erste – auch schon zuvor hatte sich der Konzern bei Tokarev gemeldet und ihm gesagt, man kümmere sich.

Probleme über Probleme​

Das größte von dem Experten entdeckte Problem scheint in Apples Spielenetzwerk Game Center zu liegen: Aus dem App Store installierte Apps seien darüber in der Lage, unter anderem die E-Mail-Adresse und den vollen Namen zu der Apple-ID des Nutzers auszulesen.

Auch ein Zugriff auf die "Core Duet"-Datenbank soll möglich sein, die Einblick in die Kommunikation des Nutzers gibt: Sie enthält eine Liste mit Metadaten wie Zeitstempeln und Kontakten, mit denen über iMessage, Mail und Dritt-Messengern Nachrichten ausgetauscht wurden. In iOS 14.8 sei es darüber auch möglich, die komplette Adressbuch-Datenbank ohne Zustimmung des Nutzers auszulesen, was allerdings in iOS 15 (ohne Nutzerinfo) behoben wurde.

Quelle: heise
 
Zurück
Oben