Auch iCloud-Inhalte ausgelesen
55 Sicherheitslücken: Hacker kassieren dicke Belohnung von Apple
Eine Gruppe von Hackern hat sich Apple vorgenommen und über einen Zeitraum von drei Monaten hinweg 55 Sicherheitslücken aufgetan. Die Aktion kommt dem Mac-Hersteller allerdings zugute, denn die für die Aktion verantwortlichen Sicherheitsexperten sind mit den Ergebnissen ihrer Arbeit verantwortungsbewusst umgegangen. Nachdem ihr Bericht an Apple übermittelt wurde, hat das Unternehmen unverzüglich alle Sicherheitslücken geschlossen und die Hacker zudem üppig entlohnt. 288.500 Dollar seien bereits geflossen, insgesamt könnte Apples Belohnung sogar die Marke von 500.000 Dollar übersteigen.
Die Sicherheitsforscher haben ihre Arbeit unter dem Titel „We Hacked Apple for 3 Months: Here’s What We Found“ ausführlich dokumentiert, das Magazin Ars Technica kann weitere Details aus einem Chat mit einem der Beteiligten ergänzen. So habe man im Rahmen der Aktion keineswegs nur kleine Probleme enttarnt, elf der übermittelten Schwachstellen wurden als kritisch und weitere 29 als mittelschwer eingestuft.
Eine der aufgedeckten Sicherheitslücken hat es offenbar ermöglicht, über manipulierte E-Mails auf die iCloud-Inhalte der Betroffenen zuzugreifen. Dabei hat es wohl schon genügt, wenn das Opfer die an seine Apple-Adresse adressierte E-Mail öffnet, um den Angreifer mit den gleichen Rechten auszustatten, wie sie der Betroffene hätte, wenn er Apples iCloud von einem Webbrowser aus aufruft. Dies beinhaltet also den Zugriff auf Daten wie die persönliche Fotosammlung, E-Mails, Kontakte und Kalender.
Es überrascht nicht, wenn bei Apple angesichts solcher Sicherheitsprobleme die Alarmglocken läuten. Dementsprechend hätte das Unternehmen auch prompt reagiert und die Sicherheitslücken schnellstmöglich gestopft. Als Belohnung habe man den Hackern zunächst 51.500 Dollar aus Apples Bug-Bounty-Programm für die ersten vier und später nochmal 237.000 Dollar für 28 weitere Schwachstellen überwiesen. Mit Blick auf die restlichen an Apple gemeldeten Sicherheitslücken erwartet das Hacker-Team eine weitere sechsstellige Überweisung.
Apples schnelle Reaktion in diesem Fall findet weitgehend Anerkennung. Genau solche unabhängigen und verantwortungsbewussten Überprüfungen werden aber auch als wichtig für die Sicherheit von Produkten angesehen. Das Aussetzen entsprechender Belohnungen soll dafür Anreize schaffen, und in diesem Fall hat das Ganze wohl einwandfrei funktioniert. Apple hat sein Bug-Bounty-Programm allerdings erst vor vier Jahren und auf öffentlichen Druck hin eingeführt.
Ein Apple-Sprecher hat den Sachverhalt in einer Stellungnahme gegenüber Ars Technica mittlerweile bestätigt:
Bei Apple schützen wir unsere Netzwerke wachsam und verfügen über engagierte Teams von Informationssicherheitsexperten, die daran arbeiten, Bedrohungen zu erkennen und darauf zu reagieren. Sobald die Forscher uns auf die in ihrem Bericht aufgeführten Probleme aufmerksam machten, haben wir die Schwachstellen sofort behoben und Schritte unternommen, um künftige Probleme dieser Art zu verhindern. Unseren Protokollen zufolge entdeckten die Forscher die Schwachstellen als erste, so dass wir sicher sind, dass keine Benutzerdaten missbraucht wurden. Wir schätzen die Zusammenarbeit mit Sicherheitsforschern, die dazu beiträgt, die Sicherheit unserer Benutzer zu gewährleisten, und haben dem Team für seine Hilfe Anerkennung ausgesprochen und werden sie über das Apple-Security-Bounty-Programm belohnen.
Keine Frage, das was die „Sicherheitsforscher“ tun ist wichtig und sollte finanziell belohnt werden. Schade ist nur, das es zu schwerwiegenden Lücken kommt. Betriebssysteme, Dienste und Software werden mittlerweile nur noch mit der heißen Nadel gestrickt um dann beim Kunden zu reifen. Nur um ein jährliches Roundup für lau rauszuhauen.
Ich wünsche mir manchmal die Zeit zurück als ein OS noch einen Lebenszyklus von mehreren Jahren hatte und Geld gekostet hat. Sicherheitslücken gab es damals auch schon, keine Frage. Aber, für mein Empfinden, waren sie nicht so zahlreich. Und es gab auch keine wöchentlichen Updates.
Ich denke die Lücken gab es damals auch schon, nur wurde nicht so intensiv danach gesucht.
Programmieren ohne Fehler zu machen und alle Eventualitäten zu berücksichtigen ist meines Erachtens völlig unmöglich.
Ich denke auch, dass es quasi unmöglich ist, fehlerfreie Software zu schreiben.
Auch denke ich nicht, dass heutzutage ’schludriger‘ im Bereich Betriebssystem gearbeitet wird.
Ich gebe zu bedenken, dass je älter eine Software ist und je mehr Features hinzukommen, sie damit auch komplexer und schwieriger zu Warten wird.
Und heutzutage versuchen auch wesentlich mehr Personen, sich in Software/Systeme einzuhacken sodass auch allein deswegen mehr Lücken gefunden werden.
Ich habe den Eindruck, dass es bei allen Apple OS nach wie vor ziemlich gut läuft. Bislang gab es jedenfalls keine größeren Katastrophen..
Schau mal auf Golem. 100-Mal mehr Code als noch vor 10 Jahren.
Die Welt wird nicht einfacher sondern komplexer. Zwar sehen die Apps vermeintlich aus wie früher, jedoch steht viel mehr machine-learning darin.
Die Lücken waren genauso da, genauso Schlimm. Damals gab es nur selten „Always On“ Systeme… Davon ab sind Fehler normal. Sei es Designbedingt oder viel tiefer (Externe Libs wie OpenSSL, Compiler Bugs, etc etc)
Falsch ist „Betriebssysteme, Dienste und Software werden mittlerweile nur noch mit der heißen Nadel gestrickt“.
Das mag für kleinere Software vielleicht stimmen. anderes – und erst recht Betriebssysteme – sind mittlerweile viel zu komplex, als dass man Bug-frei arbeiten könnte. Und zudem darf man nicht vergessen: Fehlerfrei programmieren heißt nicht Bug-Frei programmieren.
Der Vergleich zu früher passt auch nicht, denn 1. war die Entwicklungszeit früher viel länger. Würde Apple keine jährlichen Updates bringen, würde macOS meist als „altertümliches“ OS gesehen werden. Die Leute erwarten soetwas. Und zudem entwicklet sich der Rest der IT-Welt so schnell, dass man mit langsameren Updates Wichtiges schlicht verpennen würde.
und 2. Wurden früher viele Fehler schlicht nicht gefunden, oder wenn doch, nicht reportet. Es gab kein (kaum) Internet. Es konnte keiner ohne lokalen Zugriff auf das System auf Daten zugreifen. Man hat nicht von Fehlern, die bei anderen evtl. auftraten gehört. etc. pp.
Aber Apple hängt doch bei den Funktionen oft hinterher, weil die es besser machen, dachte ich.
Früher war es nicht so wichtig, eine sichere Software zu haben.
@rover: du hättest MacOS mit Betriebssystem ersetzen können oder Windows nennen können. Die Leute möchten keine Erklärung haben… Sie wollen hören das nur sie mit ihrer Meinung Recht haben.
Gähn! Früher war alles besser…
.. selbst die Zukunft!
Dann empfehle ich Befassung mit dem Thema „Softwareentwicklung“.
Und wichtige Funktionen gehen immer noch nicht – siehe Trainings von der iWatch auf das iPhone übertragen…
Was ist iWatch?
Wenn’s nicht geht, willst du es auch nicht haben. Ganz einfach. :)
Was für Trainings?
Schon Wahnsinn. Die setzen sich drei Monate dran und finden solch gravierende Lücken.
Gut das Apple endlich dazu übergegangen ist, solche Leute zu bezahlen. Früher hätten das nur Geheimdienste oder Kriminelle mitbekommen.
Der Nachteil ist natürlich, dass jetzt auch die Kunden merken sollten, was Sicherheit bei Apple bedeutet hat. Der Kunde muss glauben, dass er sicher ist.
Verschwörungsmodus ein: Jetzt muss Apple neue geheime Hintertürchen für die Regierungen & Co einbauen. Verschwörungsmodus aus.
Mich erstaunt dabei eher, wie lange div. Regierungen trotz so vieler Sicherheitslücken gebraucht haben, um das iPhone zu hacken und an die gewünschten Infos zu kommen.
Entweder sitzen in den Behörden also nur Schwachköpfe oder die Sicherheitslücken sind nicht so kritisch wie man glauben mag.
Oder vielleicht beides?
Ich glaube eher, dass diejenigen die die Lücken gefunden haben sehr gewitzt sind und auch viel Aufwand spendiert haben.
Und: nur weil eine Lücke nur mit sehr viel Aufwand gefunden wurde, heißt das ja nicht, dass sie nicht trotzdem leicht ausgenutzt werden kann.
Also belohnt Apple nur die Hacker, die auf Sicherheitslücken hinweisen, die auch leicht behoben werden können. Im Fall der Belgier, die auf die scheinbar unfixbare Sicherheitslücke im T2-Chip hingewiesen haben, schweigt Apple und stellt sich dumm.
Was sollen sie denn da auch ergänzen? Dass es ihnen leid tut aber nicht zu ändern ist?
Na dann meld dich mal bei Apple. Vielleicht schicken sie dir ja einen neuen T2 *facepalm*
Warum findet Apple so viele und schwere Sicherheitslücken nicht selbst? Ja, ein zwei können auch Apple mal durch die Lappen gehen aber Dutzende, die in einem recht geringen Zeitraum gefunden werden konnten? Sind die Hacker schlauer oder haben sie mehr Geld, mehr Ressourcen zur Verfügung? Natürlich drehen auch die ganz großen Unternehmen bei ihrer Software längst an der Kostenschraube, was halt der Qualität schadet. Aber auch Apple, mit all ihrem Geld und ihrem vermeintlichen Qualitätsanspruch, mit dem sie ihre horrenden Preise rechtfertigen? Sie sollten schon besser sein als das oder sich halt nicht als Premiumhersteller verkaufen.
Bei solchen Kommentaren merkt man: Da spricht jemand ohne Ahnung von der Branche…
Und wenn ich Kommentare wie Deinen lese weiß ich wieder, dass hier das Fanboysammelbecken Nr. 1 ist. Absolut keine Aussagefähigkeit.
Es gibt einen wesentlichen Unterschied zwischen dem Erstellen von Software die möglichst sicher ist und dem (nachträglichen) Suchen nach Lücken.
Es gibt Lücken, die by design ausgeschlossen werden können, aber es gibt Lücken, an die hat noch Niemand bei Erstellung gedacht. Einzelne Personen haben immer nur einen bestimmten Blickwinkel. Insofern ist schon zu erwarten, dass je mehr Personen sich ein Stück Software anschauen, desto mehr Lücken auch entdeckt werden.
Das sehe ich auch so, deshalb finde ich es auch durchaus verständlich, dass ein Softwarehersteller nicht alle Fehler finden bzw. kennen kann. Ich finde aber auch, dass wenn ein Unternehmen sämtliche Ressourcen hat, es seine Software kontinuierlich verbessern sollte. Nicht nur herstellen und dann nur noch die nötigsten Updates raus bringen sondern kontinuierlich daran arbeiten. Und das tut Apple sicherlich nicht mehr.
Schlauer sind die Hacker nicht unbedingt, zumal es auch irgend wo Entwickler sind oder mal waren. Allerdings scheinen die sich deutlich intensiver mit mancher Materie zu beschäftigen als die Leute die es eigentlich müssen.
Sich intensiver mit machen Dingen zu beschäftigen macht deutlich mehr Sinn als jedes Jahr eine neue Version loszutreten die wieder zum Teil die gleichen alten zusätzlich zu diversen neuen Fehlern hat.
Catalina ist das beste Beispiel dafür.
Die letzten Security Updates – das beste Beispiel dafür.
Obst reift beim Kunden.
(Macht aber auch nichts, die meisten merken es ja nicht mal)
Das wußte ich ja noch nicht….
Bei Apple sind Hacker jetzt „Sicherheitsforscher“…..
Nicht nur bei Apple..
Irgendwie finde ich den Betrag sehr wenig, wenn man bedenkt, dass Apple Milliarden verdient!
das eine hat aber nichts mit dem anderen zutun.