Sicherheitsforscher löste Löschung von Apples Kurzbefehlen aus

Beim Versuch, einen Bug in CloudKit aufzudecken, traten Rechteprobleme auf. Resultat war ein ungewollter Ausfall. Doch die Sache hat ein Happy End.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen

So sah der Fehler im Frühjahr aus.

(Bild: Screenshot Mac & i)

Lesezeit: 2 Min.

Im vergangenen Frühjahr sorgte ein scheinbarer Bug in Apples iOS-Kurzbefehle-App dafür, dass zahllose geteilte Shortcuts zeitweise nicht mehr zugänglich waren. Es erschien nur die Fehlermeldung, dass der jeweilige Kurzbefehl "nicht gefunden" worden sei. Wie nun bekannt wurde, handelte es sich bei dem Ausfall nicht etwa um ein Hostingproblem oder einen Fehler bei Apple selbst. Die Shortcuts-Löschung ging stattdessen von einem Sicherheitsforscher aus, der beim Experimentieren offenbar einen Fehler gemacht hatte.

Wie der IT-Security-Spezialist Frans Rosen in der vergangenen Woche auf Twitter eingeräumt hat, arbeitete er im vergangenen Frühjahr für das Sicherheitslabor Detectify Labs an möglichen Sicherheitslücken im Rahmen von Apples CloudKit-Schnittstelle. "Ich fand einige Rechteprobleme, als ich [da] rumhackte (...) mit einem davon löschte ich dann aus Versehen Apples geteilte Kurzbefehle." In seinen näheren Erläuterungen schreibt Rosen, die Sache habe ein "Happy End" gehabt. Der Sicherheitsforscher meldete Apple den Fehler und teilte mit, wie es dazu kam. Er habe "extra Schritte unternommen, um Serviceunterbrechungen zu vermeiden".

Trotz der Tatsache, dass er mit seinem Vorgehen gegen Apples Bug-Bounty-Programm verstoßen hatte – bei dem man keinen Schaden anrichten darf – war der Konzern offenbar nicht verärgert, nachdem sich Rosen erklärt hatte. Ihm war es gelungen, Zonen zu erstellen und diese auch zu löschen. Der Forscher müsse allerdings "weniger destruktive Mittel" einsetzen, wenn er CloudKit weiter untersuchen wolle, so Apple in einer E-Mail. Für die insgesamt drei von Rosen entdeckten Probleme erhielt er schließlich auch Geld: 12.000, 24.000 sowie 28.000 US-Dollar, also insgesamt 64.000 Dollar für seine Arbeit.

Die Bugs in CloudKit, Apples Datenspeicher-Framework für seine Betriebssysteme, waren durchaus bedeutsam. Wie sich zeigte, konnten die Zugriffsrechte fehlkonfiguriert werden, was auch Apple selbst offenbar tat. Damit waren auch die eigenen Apps des Konzerns, die CloudKit nutzen, betroffen. Rosen entdeckte damit in Verbindung stehende Probleme in der Apple-News-Anwendung sowie in der Siri-Verbesserungs-App iCrowd+, die Apple nur an bestimmte Nutzergruppen gibt. Alle Lücken hat Apple mittlerweile gestopft.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)