Apple hat in aller Stille eine Zero-Day-Schwachstelle unter iOS 15.0.2 behoben, durch die Apps Zugang zu sensiblen Daten hätten erhalten können. Das bedauerliche dabei, Apple hat den ursprünglichen Entdecker dieser Schwachstelle nicht offiziell aufgelistet.
Die Zero-Day-Schwachstelle wurde von dem Softwareentwickler Denis Tokarev sieben Monate vor der Veröffentlichung von iOS 15.0.2 entdeckt. Im September schrieb Tokarev einen Blogbeitrag, in dem er einige seiner Interaktionen mit dem Bug Bounty Program von Apple schilderte, darunter auch die Tatsache, dass er bei einem anderen behobenen Fehler nicht gelistet wurde. Nun wurde er erneut nicht namentlich genannt. Laut Bleeping Computer wandte sich Tokarev nach der Veröffentlichung von iOS 15.0.2 an Apple, um sich über die fehlende Anerkennung zu erkundigen. Daraufhin hat ihm Apple geantwortet und bat ihn, den Inhalt ihres E-Mail-Austauschs vertraulich zu behandeln.
Zero-Day-Schwachstellen: Sicherheitsforscher fühlen sich von Apple übergangen
Bei der Schwachstelle handelte es sich um einen ausnutzbaren Fehler, durch den vom Benutzer installierte Apps aus dem App Store unbefugten Zugriff auf sensible Daten erhalten hätten, die normalerweise durch Sandboxing oder Transparenz-, Zustimmungs- und Kontrollmechanismen geschützt sind. Laut Apple sind diese Fehler bis zu 100.000 US-Dollar wert. Insgesamt hat Tokarev vier Sicherheitslücken an Apple gemeldet. Das Unternehmen hat eine davon in iOS 14.7 und die zweite in iOS 15.0.2 behoben. Zwei der Zero-Day-Schwachstellen sind auch in der neuesten Version von iOS 15 noch vorhanden. Apple zufolge werden diese „immer noch untersucht“. Es ist nicht das erste Mal, dass ein Sicherheitsforscher behauptet, von Apples Bug Bounty Programm übergangen worden zu sein. Im September wurde ein Bericht veröffentlicht, in dem es um Beschwerden von Sicherheitsforschern ging, die ignoriert oder nicht anerkannt wurden oder keine Zahlungen erhielten. (Photo by Chor Muang / Bigstockphoto)
