Chronologie: Warum der FaceTime-Bug so lange ignoriert wurde

Nach Bekanntwerden der schweren FaceTime-Sicherheitslücke wurde rasch bekannt, dass einige Zeit zwischen erster Meldung und Apples Reaktion verging. Apple hatte zwar in einer der offiziellen Stellungnahmen nicht genau erwähnt, wie lange es dauerte – wohl aber, dass intern Optimierungsbedarf bestehe. Wichtige Meldungen dieser Art müssten schneller an die zuständigen Abteilungen gelangen, so die Kernaussage. Inzwischen gibt es auch eine grobe Chronologie der Ereignisse und die Erklärung, warum eine Woche bis zur Deaktivierung der Gruppentelefonie verstrich.


Entdeckung und Meldung
Entdeckt hatte den Bug ein 14-Jähriger namens Grant Thompson – seine Mutter gab am 22. Januar einen Tweet ab, in dem sie erstmals von der Lücke sprach. Darin heißt es, ihr Sohn habe ein Problem in iOS gefunden, das es ihm ermögliche, andere iPhones und iPads abzuhören. Es gebe Beweisvideos, die Sache sei dem Apple-Support gemeldet worden. Die Antwort des Kundendienstes lautete, Mrs. Thompson möge ihr Beweisvideo bitte dem Product Security Team zukommen lassen. Dazu sei es erforderlich, zunächst einen Entwickleraccount anzulegen, da sie ansonsten keine Bugmeldung einreichen könne.

Lange keine Reaktion
Anscheinend wurde die Meldung aber nicht mit sonderlicher Priorität bearbeitet. Am 29. Januar gab es immer noch keinerlei Reaktion, also sieben Tage nach dem ersten Tweet. Darin führt Mrs. Thompson aus, mehr als zehn Tage seien inzwischen verstrichen – anscheinend hatte sie den Support also schon vor der Veröffentlichung auf Twitter kontaktiert. Apple offenbarte damit übrigens ähnliches Interesse wie beispielsweise Fox-News – dort erkannte ebenfalls niemand die Sprengkraft der Entdeckung.

Plötzlich tut sich etwas
Erst am Abend des 29. Januar ergriff Apple dann die radikale Maßnahme, FaceTime-Gruppenkonferenzen serverseitig stillzulegen und für alle Nutzer komplett zu blocken. Möglicherweise erfolgte dies aber nur, da der Fall inzwischen in den Sozialen Medien an Fahrt gewonnen hatte – und Kritik an Apple Schweigen laut wurde. Apple äußerte sich seitdem zweimal öffentlich und kündigte einen Bugfix an.

Vielleicht lohnt es sich nun sehr für die Thompsons
Gleichzeitig kontaktierte ein nicht namentlich genannter, hochrangiger Apple-Manager die Familie. Man werde nun prüfen, ob der Fehlerbericht in das "Bug Bounty"-Programm aufgenommen werde. Dort winken je nach Schwere eines Sicherheitslecks bis zu 200.000 Dollar an Belohnung. Dies ist im Marktvergleich sehr geizig und die Höchstsumme fließt auch nur bei kapitalen Fehlern auf tiefer Systemebene. Normalerweise hat zu diesem Programm nur Zugang, wer von Apple eingeladen wurde – im vorliegenden Fall könnte es eine Ausnahme geben. Angesichts des Medienechos ist Apple offensichtlich gerade dabei, Scherben aufzukehren.

Kommentare

deus-ex04.02.19 17:50
Keine Ahnung in welcher Filterbubble ihr abhängt aber ich habe das Gefühlt das Bentgate oder Antenna Gate viel größer diskutiert wurden.

Nicht falsch verstehen, das Ding ist nen riesen Bock. Aber im Vergleich zu den anderen Sachen wird das Ding weder in meinem Arbeits- noch Verwandten und Freundeskreis diskutiert. Und auch das Medien Echo war viel geringer.
-5
MetallSnake
MetallSnake04.02.19 18:14
MTN
Warum der FaceTime-Bug so lange ignoriert wurde

Das "warum" wird im Artikel überhaupt nicht behandelt.
Erwachsensein ist halb gestorben --Relatives Menschsein
+18
ratti04.02.19 18:26
deus-ex
Keine Ahnung in welcher Filterbubble ihr abhängt aber ich habe das Gefühlt das Bentgate oder Antenna Gate viel größer diskutiert wurden.
Ja.
Aber.

Ich kann das bestätigen, allerdings habe ich den Eindruck, dass sowas generell überhaupt nicht mehr diskutiert wird. Vergeht ja doch kein Tag mehr, an dem nicht irgendwas „offen“ ist.
+2
Lefteous
Lefteous04.02.19 18:55
Hm bei solchen Fehlern sieht es dann leider so aus, als ob Apple das Dingens selbst nicht benutzt
-8
MikeMuc04.02.19 19:17
deus-ex
Keine Ahnung in welcher Filterbubble ihr abhängt aber ich habe das Gefühlt das Bentgate oder Antenna Gate viel größer diskutiert wurden.
Oder bist du in verfälschen Blase gefangen? Nur weil es seine Zeit gebraucht hat um bei Apple die Eskalationsleiter empor zu klettern heißt bedeutet es ja nicht, das dieses Problem für Apple viel dramatischere Folgen haben könnte als die popeligen Antenna und Bendgates.
+5
fleissbildchen04.02.19 19:52
MTN
die Sprengkraft der Entdeckung

Dschiesas...
0
ratti04.02.19 20:14
Im diesem Zusammenhang ein erhellender Artikel:
-1
Tekl
Tekl05.02.19 00:06
Vielleicht juckt es kaum einen, weil kaum einer Facetime nutzt? Ich kenne zumindst niemanden, der drauf angewiesen ist. Viel haben's mal ausprobiert, nutzen aber weiter Skype, weil nicht jedes Gegenüber Applekram nutzt. Andere wiederum sehen keinen dringenden Nutzen in Videotelefonie und bleiben bei Audio, weil man dann nebenher popeln oder auf unbezahlten Rechnugen kritzeln kann, ohne als unhöflich dazustehen.
(hier könnte eine hippe, attributreiche Selbstdarstellung stehen)
0
MetallSnake
MetallSnake05.02.19 00:21
Tekl FaceTime kann man auch AudioOnly verwenden. Das nutze ich meist. Bei anderen Apps ist die qualität immer grottig, oder es gibt abbrüche etc. Bei FaceTime läufts aber perfekt.
Erwachsensein ist halb gestorben --Relatives Menschsein
+3
Appletiser
Appletiser05.02.19 01:55
ratti
Im diesem Zusammenhang ein erhellender Artikel:

Wie ich dort schon kommentiert habe, halte ich die "Lücke" des dort genannten Sicherheitsexperten für nicht glaubhaft, da Beweisführung im Artikel sowie im Video, diese Lücke überhaupt gleich gar nicht beweisen!

Der dort dargestellte Zugriff ist so nie und nimmer ohne vorige enorme Mithilfe des eigentlichen Benutzers möglich. Somit ist es keine Sicherheitslücke, sondern ein User, den selbst das beste Sicherheitskonzept nicht schützen könnte.

Bisher konnte ich die Meldung auch noch über keine andere News-Seite verifizieren…

vg.
+1
ratti05.02.19 02:24
Appletiser
ratti
Im diesem Zusammenhang ein erhellender Artikel:

Wie ich dort schon kommentiert habe, halte ich die "Lücke" des dort genannten Sicherheitsexperten für nicht glaubhaft, da Beweisführung im Artikel sowie im Video, diese Lücke überhaupt gleich gar nicht beweisen!
Es geht nicht um diese konkrete Lücke. Der interessante Teil ist der letzte Absatz: Kein BugBounty-Programm für macOS, und unter iOS auch nur auf Einladung, dann bleiben die Lücken halt offen. Ist es nicht diese, ist es die nächste.
+2
LoCal
LoCal05.02.19 07:26
Es wäre zu hoffen, dass Apple daraus seinen Lehren zieht und künftig anders mit Bugreports umgeht. Ich bräuchte kein Bounty-Programm, mir wäre es lieber, wenn man bei BugReports ernst genommen wird.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+3
Caliguvara
Caliguvara05.02.19 07:28
Tekl
Vielleicht juckt es kaum einen, weil kaum einer Facetime nutzt? Ich kenne zumindst niemanden, der drauf angewiesen ist. Viel haben's mal ausprobiert, nutzen aber weiter Skype, weil nicht jedes Gegenüber Applekram nutzt. Andere wiederum sehen keinen dringenden Nutzen in Videotelefonie und bleiben bei Audio, weil man dann nebenher popeln oder auf unbezahlten Rechnugen kritzeln kann, ohne als unhöflich dazustehen.
Lustig, hier genau das Gegenteil. Skype ist auf Grund der Stabilität bei uns auf internationaler Ebene quasi tot, FaceTime ist da deutlich zuverlässiger. Die Generation <30 nutzt sowieso nur noch WhatsApp Anrufe 🤦🏻‍♂️ Da gibst Du Deine Rufnummer raus und wirst dann via WhatsApp angebimmelt, entweder Audio, oder Video. Video mit grottigster Qualität. Ich bins so leid…

Es ist vermutlich eher so, dass diese Aktion mit ihren Schritten wohl als so unwahrscheinlich eingestuft wurde, dass sie fälschlicherweise keine Top Priorität hatte.
Don't Panic.
+3
ratti05.02.19 08:34
Caliguvara
Es ist vermutlich eher so, dass diese Aktion mit ihren Schritten wohl als so unwahrscheinlich eingestuft wurde, dass sie fälschlicherweise keine Top Priorität hatte.

Vermute ich auch, und genau das ist dann das Problem.

Wenn der Bug in der Entscheiderkette hängenbleibt bei jemandem, der das mit einem „Da kommt eh keiner drauf“ vom Tisch wischt, dann hat man sich heftig falsch organisiert. Man braucht eine Struktur, in der man zwar Quengel- und Deppenkunden auf Abstand hält, aber Security Issues müssen „durchkommen“.

Wer Software absichert, schlägt über derlei Argumenten ohnehin die Hände im Gesicht zusammen. „Unwahrscheinlich“. „Kompliziert“. Also bitte. Wenn es kompliziert ist, einen Porsche zu klauen, dann klaut man in eben kompliziert, wenn es sich lohnt.

Selbst der Laie muss in Zeiten von Social Media davon ausgehen, dass es sowas wie „da kommt eh keiner drauf“ nicht mehr gibt. Wenn Lieschen Müller sowas in ihren Twitter-Account kippt, landet mit dem ersten Retweet bei ihrem Neffen, dem Nerd, und mit dem zweiten Retweet bei dessen IT-Verantwortlichen in der Firma. Schon mit dem dritten Retweet sieht das aus, als hätte man eine Brötchentüte in den Karpfenteich gekippt.

Vermutlich mag niemand Bug-Bounty-Programme, die haben doch sehr ein Geschmäckle von „Hübsche Software haben sie da — wäre doch schade, wenn die kaputt geht…“ — trotzdem, derzeit haben wir nichts besseres, und die Methode hat sich bewährt.

Mich nervt das doch sehr an Apple, dass das Unternehmen einfach zwanghaft „anders“ sein muss. Geht doch bitte einfach mal den langweiligen, etablierten Standardweg, auch wenn ihr dann unterwegs zusammen mit IBM, Oracle und Microsoft gesehen werdet… dann passiert sowas nicht.
+3
Radetzky05.02.19 09:18
ratti
Geht doch bitte einfach mal den langweiligen, etablierten Standardweg, auch wenn ihr dann unterwegs zusammen mit IBM, Oracle und Microsoft gesehen werdet… dann passiert sowas nicht.

Lies die letzte ct. Da wird ausführlich dargestellt, dass und wie MS inzwischen im Bereich Qualitätssicherung versagt. Jedes der Updates für Win 10 hat irgendwo einen kleinen oder größeren Haufen von Rechnern lahmgelegt.
(wobei das kein "aber der hat zuerst gehaut" sein sollen. Apple muss an sich arbeiten)

https://www.heise.de/newsticker/meldung/Windows-10-Kampf-der -Update-Misere-4296326.html
+2
ratti05.02.19 15:00
Radetzky
ratti
Geht doch bitte einfach mal den langweiligen, etablierten Standardweg, auch wenn ihr dann unterwegs zusammen mit IBM, Oracle und Microsoft gesehen werdet… dann passiert sowas nicht.

Lies die letzte ct. Da wird ausführlich dargestellt, dass und wie MS inzwischen im Bereich Qualitätssicherung versagt. Jedes der Updates für Win 10 hat irgendwo einen kleinen oder größeren Haufen von Rechnern lahmgelegt.
(wobei das kein "aber der hat zuerst gehaut" sein sollen. Apple muss an sich arbeiten)
Ich wäre jetzt der Letzte, der Microsoft bejubeln würde. Aber die beiden Themen haben eigentlich nicht viel miteinander zu tun. Qualitätssicherung beinhaltet natürlich irgendwie auch Security.

Trotzdem: Die meisten großen der Branche haben feste Regeln, wie man bei entdeckten Sicherheitsproblemen vorgehen kann und wieviel Kohle es dafür gibt. Apple hingegen versucht, a) den Hebel in der Hand zu behalten und vorab nicht zuzusagen und b) wohin man sich wenden kann. Metaphorisch: Die haben alle einen Rettungsring an ihrem Produkt hängen, Apple aber bewusst nicht. Natürlich kann ein Produkt immer noch aus anderen Gründen Scheisse sein, Hust, Microsoft Windows, Hust, das sollte man aber nicht gegeneinander aufrechnen. Erst recht, wenn man, wie Apple das tut, offensiv mit Security und Privacy wirbt, die verbindlich Wette darauf dann aber nicht eingeht. Warum eigentlich? Ich würde damit rechnen, das macOS durchaus gut dastehen würde.

Leider hat das auch was mit dem Bild in der Öffentlichkeit zu tun. Ein Produkt, das hardcore extern überprüft wird und 2 Lücken hat ist mit Sicherheit von besserer Qualität als eines, welches mangelns Bug-Bounty-Programm nie überprüft wird und weissderhenkerwer sich schon auf den Kisten rumtreibt. Das sehen die Leute aber nicht so. „Ich habe nix negatives gehört, also ist alles sicher“. Computer sind keine Autos. Computer mit Problemen wickeln sich nicht um Bäume.
+2
Radetzky05.02.19 15:08
Hast ja durchaus Recht. Wobei "Sicherheit" von vorneherein wichtiger Bestandteil beim Design von irgendwas mit EDV sein sollte.
Macht nur kein Schwein so...
+2
Appletiser
Appletiser05.02.19 16:17
ratti
Es geht nicht um diese konkrete Lücke. Der interessante Teil ist der letzte Absatz: Kein BugBounty-Programm für macOS, und unter iOS auch nur auf Einladung, dann bleiben die Lücken halt offen. Ist es nicht diese, ist es die nächste.

Die Überschrift des Artikels und das gesamte weitere Story-Telling versucht zunächst einmal zu suggerieren das Apple hier ein riesiges Sicherheitsloch hätte.
Das dieses dann zum Anlass genommen wird das fehlende Bug-Bounty Programm zu kritisieren ist legitim, aber nicht im Rahmen einer doch eher fragwürdig dargestellten Sicherheitslücke.

Dreh den Spieß mal um, wenn dann in Massen solche "zweifelhaften" Meldung reinkommen, die dann aber auch alle bewertet/ausgewertet werden müssen, dann bindet sowas auch viel Kapazität. Überspitzt gesagt, es macht wohl auch keinen Sinn aus einem Bug-Meldung-Szenario ein Geschäftsmodell machen zu müssen.

Außerdem gibt es einige Hacker-Veranstaltungen auf den Preise ausgelobt werden. Das halt ich für sinnvoller, wenn dann für beide Seiten gezielt und einigermaßen gesteuert etwas dabei rumkommen kann.

Ich meine mich auch daran erinnern zu können, dass Apple schon mehrmals auch entsprechende Wettbewerbe dazu ausgelobt hat. Kann aber auch schon länger her sein, da will ich mich jetzt nicht drauf versteifen.

vg.
0
MetallSnake
MetallSnake05.02.19 16:30
Appletiser

Ich meine mich auch daran erinnern zu können, dass Apple schon mehrmals auch entsprechende Wettbewerbe dazu ausgelobt hat. Kann aber auch schon länger her sein, da will ich mich jetzt nicht drauf versteifen.

Ich weiß noch, dass Apple in den 90ern (ich glaube das war noch bevor Steve zurück kam) Wettbewerbe startete bei denen man auf deren Webseite durch hacken eine Nachricht dort hinterlassen sollte. Dafür gabs dann Geldpreise.
Erwachsensein ist halb gestorben --Relatives Menschsein
0
ratti06.02.19 06:29
Appletiser
Außerdem gibt es einige Hacker-Veranstaltungen auf den Preise ausgelobt werden. Das halt ich für sinnvoller, wenn dann für beide Seiten gezielt und einigermaßen gesteuert etwas dabei rumkommen kann.

Einmal im Jahr mit seinen Produkten beim Monster-Mega-Car-Crunsh-Event aufzutauchen und unter dem Gejohle der Menge einen Nachmittag lang seine Software gegen eine Betonwand zu klatschen ersetzt nicht ein permanentes Qualitätssicherungs-Programm mit standardisierten Crashtests und Auswertung von Real-Life-Incidents.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen