Kontroversen und Beschwerden sind nichts Neues für Apple’s Bug-Sicherheitsprogramm.
Sicherheitsforscher beschuldigen Apple für seine entspannte Einstellung, wenn es darum geht, 0-Day-Fehler zu beheben.
Dieses Mal hat ein Sicherheitsforscher mehrere 0-Day-Schwachstellen auf iOS 15 gemeldet.
Sie wurden zuerst an .
gemeldet Apple vor sechs Monaten, und das Unternehmen muss sie noch beheben.
Verzögerung bei der Behebung von Fehlern
In einem Blogbeitrag hat der Sicherheitsforscher seine Erfahrungen ausführlich beschrieben.
Er meldete zwischen dem 10.
März und dem 4.
Mai vier 0-Tage-Schwachstellen.
Apple hat nur einen behoben, während die restlichen drei in der neuesten Version von iOS 15 vorhanden sind.
Das Unternehmen entschuldigte sich und machte ein Verarbeitungsproblem verantwortlich.
Apple versprach, dass das Problem in den kommenden Updates behoben wird.
Trotz der Zusicherung bleiben die 0-Day-Schwachstellen bis heute ungepatcht.
Vor zehn Tagen bat ich um eine Erklärung und warnte dann, dass ich meine Forschung veröffentlichen würde, wenn ich keine Erklärung erhalte.
Meine Bitte wurde ignoriert, also tue ich, was ich versprochen habe.
Meine Handlungen stehen im Einklang mit den Richtlinien zur verantwortungsvollen Offenlegung (Google Project Zero legt Schwachstellen innerhalb von 90 Tagen offen, nachdem sie dem Anbieter gemeldet wurden, ZDI – in 120).
Ich habe viel länger gewartet, in einem Fall bis zu einem halben Jahr.
Getreu seinen Worten hat der Forscher die Schwachstellen öffentlich gemacht.
Einer der Exploits ermöglicht es jeder im App Store installierten App, ohne Benutzerberechtigung auf Daten zuzugreifen.
Mit anderen Worten, die App kann auf Apple ID-E-Mail, Apple ID-Authentifizierungstoken, Dateisystem-Lesezugriff, Kurzwahldatenbank und Adressbuchdatenbank.
Die nächste Schwachstelle ermöglicht es jeder vom Benutzer installierten App mithilfe der Bundle-ID zu überprüfen, ob eine bestimmte App auf dem Gerät installiert ist.
Werbeagenturen könnten diese besondere Schwachstelle potenziell nutzen, um einen digitalen Fingerabdruck zu erstellen.
Apple Macht ein Auge zu
Dies ist nicht das erste Mal, dass Sicherheitsforscher ihren Unmut über Apple’s Security Bounty-Programm.
Im Juli „fühlt sich ein Forscher beraubt“ nach Apple weigerte sich, ein Bug-Bonus zu zahlen.
Anfang dieses Monats wurde in einem Bericht detailliert beschrieben, warum Sicherheitsforscher nicht daran interessiert sind Apple’s Sicherheits-Bounty-Programm.
Wie es scheint Apple hat beschlossen, das Problem trotz aller Beschwerden und negativen Erfahrungen zu ignorieren.
Ivan Krstic, Apple’s Head of Security Engineering, bezeichnete das Programm als „aus dem Ruder laufen“.
Andererseits besteht eine gute Chance, dass Sicherheitsforscher den Fehler an Dritte melden könnten.
Schließlich werden die 0-Day-Schwachstellen verwendet, um Massenüberwachungsprogramme wie die Pegasus-Spyware zu erstellen.
[via HABR]
