Frustriert von Apple: Sicherheitsforscher veröffentlicht 0-Day-Lücken für iOS 15
Der Konzern habe nur einen der Bugs still gestopft und nicht weiter reagiert, so der Sicherheitsforscher. Die Lücken geben Apps wohl Zugriff auf Nutzerdaten.
Ein Sicherheitsforscher hat Details zu mehreren Schwachstellen veröffentlicht, die Apps Zugriff auf sensible Nutzerdaten ermöglichen – und sich offenbar auch in iOS 15 weiter einsetzen lassen. Er habe die insgesamt vier Zero-Day-Lücken schon im Frühjahr an Apple gemeldet, berichtet der Sicherheitsforscher mit dem Pseudonym "illusionofchaos". Der Hersteller habe jedoch nur eine davon mit iOS 14.7 beseitigt, ohne das in den Sicherheits-Release-Notes für die Öffentlichkeit zu dokumentieren – und wohl auch ohne dies über das Bug-Bounty-Programm zu entlohnen.
Angeblich keine Reaktion von Apple
Apple habe sich zuerst entschuldigt und ihm versprochen, die Schwachstelle nachzutragen – das sei jedoch nicht passiert, zudem stehen die drei anderen Lücken weiterhin offen. Eine erneute Nachfrage vor wenigen Tagen sei unbeantwortet geblieben, schreibt illusionofchaos, deshalb habe er sich nun zur Veröffentlichung entschieden. Er hat jeweils Code als "Proof of Concept" auf Github veröffentlicht, mit dem sich die Bugs ausnutzen lassen.
Das größte Problem scheint in Apples Spielenetzwerk Game Center zu liegen: Aus dem App Store installierte Apps seien darüber in der Lage, unter anderem die E-Mail-Adresse und den vollen Namen zu der Apple-ID des Nutzers auszulesen. Auch ein Zugriff auf die "Core Duet"-Datenbank soll möglich sein, die Einblick in die Kommunikation des Nutzers gibt: Sie enthält eine Liste mit Metadaten wie Zeitstempeln und Kontakten, mit denen über iMessage, Mail und Dritt-Messengern Nachrichten ausgetauscht wurden.
In iOS 14.8 sei es darüber auch möglich, die komplette Adressbuch-Datenbank ohne Zustimmung des Nutzers auszulesen – letzteres habe Apple in iOS 15 aber ebenfalls still behoben, merkt illusionofchaos an. Der Zugriff sei auch möglich, wenn Game Center auf dem Gerät gar nicht aktiviert wurde.
Kritik am Bug-Bounty-Programm
Die zwei weiteren veröffentlichten Bugs können einer App mit bestehender Standortfreigabe den Zugriff auf WLAN-Namen einräumen und eine Prüfung ermöglichen, ob bestimmte Apps auf dem Gerät installiert sind. Der mit iOS 14.7 behobene Fehler habe Apps ermöglicht, die vom Gerät erfassten Analysedaten auszulesen. In diesen können laut dem Sicherheitsforscher ebenfalls sensible Daten zu finden sein – sogar Gesundheitsdaten aus Health. Nutzer können in den Datenschutzeinstellungen unter "Analyse & Verbesserungen" / "Analysedaten" selbst prüfen, was das System dort verzeichnet, auf zwei iPhones der Mac & i-Redaktion waren darunter keine sensiblen Angaben zu finden.
Kritik an Apples Bug-Bounty-Programm gibt es seit Langem. In den vergangenen Monaten meldeten sich immer mehr Sicherheitsforscher mit ihren frustrierenden Erfahrungen zu Wort – Apple reagiere langsam oder gar nicht auf die Fehlerübermittlungen und wolle weniger Geld für Bugs ausschütten als ausgelobt, heißt es.
(lbe)