Apple-Bug in Bildschirmzeit soll drei Jahre lang Pornoseiten durchgelassen haben
Ein "spezieller String" soll es ermöglicht haben, Pornos und Gewalt trotz Verbot anzusehen, heißt es in einem Bericht.​ Apple reagierte lange nicht.
Apples Funktion "Bildschirmzeit", die Teil von macOS, iOS und iPadOS ist, soll eigentlich dazu dienen, die übermäßige Gerätenutzung zu verhindern. Teil des Features ist auch ein Filter für problematische Seiten mit Gewalt oder Pornografie. Schon in der Vergangenheit kam es immer wieder zu Bugs, die Apple regelmäßig einräumen musste. Auch Kritik an zu langsamen Reaktionszeiten nach Problemmeldungen gab es schon. Nun wird über einen besonders problematischen Bug in dem auch Screen Time genannten Feature berichtet. Er erlaubte den Zugriff auf eigentlich verbotene Seiten – und Apple brauchte für den Fix satte drei Jahre.
Kleiner Trick mit groĂźer Wirkung
Das berichtet das Wall Street Journal am Mittwoch. Den Angaben zufolge war es möglich, mit einem "speziellen String" den Webfilter in Apples Betriebssystemen zu umgehen, wenn dieser via Bildschirmzeit aktiviert war. Danach konnte man in die Safari-Adressleiste alles eingeben, was das Herz begehrt, nach Pornografie, Gewaltbildern oder Drogen suchen. Die Kinderschutzfunktionen wurden somit ausgehebelt.
Dass das möglich war, wurde dem Konzern bereits 2021 von Wiener Sicherheitsforschern gemeldet. Der Bug, der auf einer bestimmten Zeichenfolge basiert, die den Filter augenscheinlich verwirrt, greift nicht nur bei Bildschirmzeit, sondern auch bei Macs, die mittels Mobile Device Management (MDM) verwaltet werden, wenn dort problematische Websites eingeschränkt werden.
"Softwareproblem" statt SicherheitslĂĽcke
Apple reagierte einen Tag nach der Problemmeldung mit der Aussage, es handele sich nicht um eine Sicherheitslücke. Man solle sich an das Produktfeedback wenden. Es geschah nichts. Ein knappes halbes Jahr später versuchten die Experten es erneut. "Wir sehen keine tatsächlichen Auswirkungen auf die Sicherheit", antwortete der Konzern. Auch dieses Mal wurden die Forscher aufgefordert, Apples Feedbacktool zu nutzen. Erneut passierte nichts. Auch über Apples Bug-Bounty-Programm und Kontakte in Apples Sicherheitsabteilung gab es keine Hilfe. Schließlich kamen die Wiener Sicherheitsexperten zu dem Schluss, dass Apple nicht reagieren werde und kontaktierten die Presse.
Das half. Nachdem sich das Wall Street Journal an Apple gewandt hatte, will der Konzern nun reagieren. Man sei über ein Problem informiert, das in einem "Web Technology Protocol" für Entwickler liege. Nun arbeite Apple an einer Fehlerbehebung, "die für das nächste Software-Update geplant ist". Der Konzern will keine Bug Bounty zahlen, da es sich um ein "Softwareproblem" handele, nicht um eine Sicherheitslücke.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)