Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

„Viel zu späte Reaktion auf Sicherheitslücken“ – Apple reagiert auf Kritik und entschuldigt sich bei Sicherheitsforscher

Es ist naheliegend, dass Apple ein reges Interesse daran haben sollte, über Sicherheitslücken informiert zu werden, um diese schnellstmöglich zu beheben: Wird eine Schwachstelle bekannt, kommen mehr und mehr Nutzer zu Schaden, was wiederum kein gutes Licht auf das Unternehmen wirft. Um die Anreize für das Melden entsprechender Sicherheitslücken zu erhöhen, hat Apple das sogenannte „Bug-Bounty-Programm“ ins Leben gerufen. Die Kritik daran wird aber immer lauter: Cupertino reagiere viel zu spät auf Meldungen und zahle Prämien entweder gar nicht oder in zu geringer Höhe aus. Nun machen weitere Experten ihren Unmut Luft.


Apple reagiert zu spät auf Meldungen
Der Sicherheitsforscher Denis Tokarev alias illusionofchaos teilt seine Erfahrungen mit Apples Bug-Bounty-Programm in seinem Blog. Tokarev habe dem Konzern im Zeitraum vom 10. März bis 4. Mai 2021 vier Zero-Day-Exploits gemeldet. Allzu viel sei in dieser Sache jedoch nicht passiert: Apple erteile Tokarev die Auskunft, die Fehler mit einem Update beheben zu wollen. Eine der Lücken wurde tatsächlich mit iOS 14.7 geschlossen, die drei anderen Schwachstellen finden sich nach wie vor auch in der aktuellen Version. Unbedeutend sind diese nicht: So ist es unter anderem jeder aus dem App Store geladenen Anwendung möglich, bestimmte Daten wie die E-Mail-Adresse der Apple ID und den vollständigen Namen des Anwenders abzugreifen.

Sicherheitsexpertin bemängelt Apples Kommunikation
Tokarev entschied sich dazu, Apple ein letztes Mal mit seinen Erkenntnissen zu konfrontieren – und drohte an, die Sicherheitslücken im Falle einer ausbleibenden Reaktion publik zu machen. Cupertino ließ sich zu lange Zeit: Wie Motherbord berichtet, erhielt der Sicherheitsforscher erst nach der Veröffentlichung der Bugs eine Antwort des Unternehmens. Man habe den Blog-Beitrag gesehen und entschuldige sich für die Verzögerung bei der Beantwortung. Apple untersuche diese Probleme noch, bedanke sich aber für die Zeit, die sich Tokarev genommen hat. Motherboard lässt auch die Cybersicherheitsexpertin Katie Moussouris zu Wort kommen: Die Art und Weise, wie Apple mit dieser Sache umgeht, sei nicht normal und sollte auch nicht als normal angesehen werden. Das Unternehmen habe nach wie vor Schwierigkeiten bei der Kommunikation mit Sicherheitsforschern, so Moussouris.
Update-Abend: macOS 14.3.1, iOS 17.3.1, iPadOS 17.3.1 und watchOS 10.3.1 erschienen
Update-Abend: macOS 14.3.1, iOS 17.3.1, iPadOS ...
Mac-Praxis: APFS-Laufwerke überprüfen per Kommandozeile
Mac-Praxis: APFS-Laufwerke überprüfen per Komma...
Musikdienste im Wandel
Musikdienste im Wandel
iPad Pro mit OLED
iPad Pro mit OLED
Blanke Kappen: Neuer Ärger mit MacBook-Tastaturen?
Blanke Kappen: Neuer Ärger mit MacBook-Tastatur...
Warum Apple den GameBoy-Emulator iGBA direkt wieder aus dem Store warf
Warum Apple den GameBoy-Emulator iGBA direkt wi...
Stehen Apple und die FIFA kurz vor einem Milliardendeal?
Stehen Apple und die FIFA kurz vor einem Millia...
Kurz: Apple informiert WWDC-Ticketgewinner +++ Zwei weitere neue iPads geleakt
Kurz: Apple informiert WWDC-Ticketgewinner +++ ...

Kommentare

tjost
tjost28.09.21 15:45
MTN
bestimmte Daten wie die E-Mail-Adresse der Apple ID und den vollständigen Namen des Anwenders abzugreifen

Und was soll man mit den Informationen anfangen? Die bekommt man auch auf anderem Wege ganz einfach.
-20
Maxlgraf28.09.21 15:52
Ist das Management von Apple vielleicht überlastet?
+4
Plebejer
Plebejer28.09.21 16:14
tjost
MTN
bestimmte Daten wie die E-Mail-Adresse der Apple ID und den vollständigen Namen des Anwenders abzugreifen

Und was soll man mit den Informationen anfangen? Die bekommt man auch auf anderem Wege ganz einfach.

Warum sollte ich weiter roboten gehen, wenn ich das Geld und noch viel mehr ganz einfach bei einem Banküberfall bekommen kann?
+2
Metty
Metty28.09.21 16:20
tjost
Und was soll man mit den Informationen anfangen? Die bekommt man auch auf anderem Wege ganz einfach.
Diese Informationen bekommt man eben nicht von Apple als Normalprogrammierer. Diese Informationen kann man nutzen, um ein perfektes Tracing aufzubauen. Noch ein paar gute gebaute Fake Mails an die Mailadresse und irgend ein Idiot loggt sich dann mit seinem Passwort auf meiner Fake Website ein.
Email Adresse und Name sind der perfekte Start für einen großen Missbrauch.
Man kann es auch harmloser dazu benutzen einen "Kunden" mit Werbebotschaften vollzuballern, denn immerhin hat er ja meine App installiert und ist damit mein Kunde.
Genau deshalb bewirbt Apple ja seine Privacy Maßnahmen. In so fern verwundert es schon, dass Apple Sicherheitsmeldungen nicht richtig auf den Grund geht.
+16
Michael Lang aus Rieder28.09.21 18:03
So richtig entschuldigt hat sich Apple aber nicht. Das Fazit bleibt dass Apple ein Problem mit Sicherheitsforschern hat und nicht transparent und zufriedenstellend kommuniziert. Und vor allem die Schwachstellen nicht offen und zügig angeht.
+14
zinne
zinne28.09.21 20:39
Das Unternehmen habe nach wie vor Schwierigkeiten bei der Kommunikation mit Sicherheitsforschern, so Moussouris.
So viel ich von Apple auch halte, aber die Kommunikation und Reaktionszeit im Softwarebereich generell bei denen ist eine Katastrophe. Ich habe es aufgegeben Bugs zu melden, das liegt dann einfach jahrelang rum, kein Feedback, kein Fix, nichts.
Kann mir gut vorstellen wie man sich fühlt, wenn man da am Bug-Bounty-Programm teilnimmt und auch noch echte Lücken entdeckt und da einfach nichts kommt, dabei könnten Sie so viel von engagierten Entwicklern außerhalb Apples profitieren…
+10
Hitman28.09.21 22:14
Hmm , ich könnte mir auch gut vorstellen das Apple und sein Team für
Bugs einfach nicht zahlen wollen was der eine oder andere Sicherheitsexperte so für seine Arbeit verlangt.
Eventuell ist auch die Einstufung der Gefahr für jeden anders .
-8
macStefan29.09.21 00:42
Hitman
Hmm , ich könnte mir auch gut vorstellen das Apple und sein Team für
Bugs einfach nicht zahlen wollen was der eine oder andere Sicherheitsexperte so für seine Arbeit verlangt.
Eventuell ist auch die Einstufung der Gefahr für jeden anders .

Wozu sollte man dann so ein Programm auflegen?
+7

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.