Apple hat Anfang der Woche iOS 15 und Co. für alle Anwender weltweit veröffentlicht. Nun behauptet ein Sicherheitsforscher, dass Apple ihn bei einer von ihm gemeldeten Zero-Day-Schwachstelle brüskiert hat und dass das Unternehmen drei weitere Zero-Day-Schwachstellen, die auch in iOS 15 vorhanden sind, noch nicht behoben hat.
In einem Blogbeitrag schreibt der Sicherheitsforscher illusionofchaos über seine „frustrierenden Erfahrungen bei der Teilnahme am Apple Security Bounty Programm“. Das Programm bietet unabhängigen Forschern Prämien für das Auffinden und Melden von Schwachstellen in Apples Betriebssystemen. Nun schreibt der Forscher, dass er zwischen dem 10. März und dem 04. Mai vier Zero-Day-Schwachstellen an Apple gemeldet hat. Eine dieser Sicherheitslücken wurde unter iOS 14.7 gepatcht. Doch der Forscher behauptet, dass Apple „beschlossen hat, sie zu vertuschen und sie nicht auf der Seite mit den Sicherheitsinhalten aufzuführen“.
Als ich sie damit konfrontierte, entschuldigten sie sich, versicherten mir, dass es sich um ein Verarbeitungsproblem handelte und versprachen, es auf der Seite mit den Sicherheitsinhalten des nächsten Updates aufzuführen. Seitdem gab es drei Updates und jedes Mal wurde das Versprechen gebrochen.
iOS 15 soll drei gefährliche Sicherheitslücken beinhalten
Darüber hinaus sollen die anderen drei Sicherheitslücken weiterhin vorhanden sein – auch in iOS 15. Demnach soll Apple wissentlich die iOS-Schwachstellen ignorieren, so illusionofchaos.
Vor zehn Tagen habe ich um eine Erklärung gebeten und gewarnt, dass ich meine Forschung veröffentlichen werde, wenn ich keine Erklärung erhalte. Meine Bitte wurde ignoriert, also tue ich jetzt, was ich gesagt habe. Mein Handeln steht im Einklang mit den Richtlinien zur verantwortungsvollen Offenlegung.
Zu den drei Sicherheitslücken gehört ein Fehler, der es Apps, die aus dem iOS App Store heruntergeladen werden, ermöglicht, Daten wie die Apple ID und Informationen über die Kontakte eines Nutzers auszulesen. Eine weitere Schwachstelle erlaubt es jeder App zu überprüfen, ob eine andere App auf einem Gerät installiert ist während die dritte es Anwendungen mit Standortdiensten ermöglicht, auf WiFi-Informationen zuzugreifen. Interessanterweise ist es nicht das erste Mal, dass ein Sicherheitsforscher sich über Apples „Security Bounty Programm“ beschwert. Apple selbst hat sich zu dem Thema bislang nicht geäußert. (Photo by Unsplash / William Hook)
