Problem in iOS: Bugjäger legt Notfallzentralen lahm

In den USA hat ein Teenager eine Schwachstelle in iOS entdeckt, mit der sich Telefonate auslösen lassen – und veröffentlichte den Exploit auf Twitter. Weil das aber eine falsche Variante war, folgten unzählige Anrufe bei der lokalen Notrufzentrale.

In Pocket speichern vorlesen Druckansicht 124 Kommentare lesen
Apple-Bug-Bounty-Versuch legt Notfallzentralen lahm

Notruffahrzeug in den USA

(Bild: Michael Gil / Flickr / cc-by-2.0)

Lesezeit: 2 Min.

Ein 18-Jähriger aus Arizona hat beim Versuch, ein Preisgeld bei Apples Bug-Bounty-Programm zu verdienen, Notfallzentralen in den USA versehentlich einem Denial-of-Service-Angriff unterzogen. D. war demnach ein Problem in iOS aufgefallen, mit dem es möglich ist, über einen einfachen Link Apps zu starten, Mitteilungsfenster einzublenden sowie auch Telefonate auszulösen. D. hatte eigentlich vor, eine harmlose Version eines Proof-of-Concept-Exploits auf Twitter zu veröffentlichen, bei dem auf Klick nur ein Pop-up erschien. Stattdessen verbreitete er unter seinen Followern jedoch eine Variante, die die US-Notrufnummer 911 anwählte.

Laut Mitteilung des Sheriffs von Maricopa County wurde offenbar so häufig auf den Link geklickt, der Code auf D.s eigenem Server ansprach, dass es zu einer "ernsthaften Störung des 911-Notfallsystems im ganzen Stadtgebiet von Phoenix und möglicherweise auch anderer US-Staaten" kam. D.s Follower legten den 911-Anruf zwar stets wieder auf, doch sind die Behörden verpflichtet, Rückrufe zu starten, um sicherzustellen, dass kein Notfall vorliegt. Das wiederum führte zu einer starken Belastung der Zentralen, erklärte der Sheriff.

D. wurde verhaftet. Ihm wird "Computer Tampering" (Computermissbrauch) in drei Fällen vorgeworfen. Seinen Angaben zufolge habe er das 911-"Feature" zwar eingebaut, ihm sei aber bewusst gewesen, dass dies illegal sei. Es sei ein "Unfall" gewesen, dass er den Link zu dem Exploit mit seinen Twitter-Followern geteilt habe. Die Polizei hat D.s Server mittlerweile offline genommen.

Nähere Details zu dem iOS-Bug sind derzeit noch nicht bekannt – auch nicht, ob D. den Fehler an Apple gemeldet hat. Am Bug-Bounty-Programm des Konzerns hätte D. vermutlich sowieso nicht teilnehmen können – es steht in der Anfangsphase, die seit August läuft nämlich offiziell nur für durch Apple ausgewählte Sicherheitsforscher bereit.

Mehr zum Apple Bug Bounty Program lesen Sie auch in Mac & i-Heft 05/2016:

(bsc)