ifun.de — Apple News seit 2001. 21 682 Artikel
"Project Zero" macht Druck

Wochenlanger Schlagabtausch: Apple und Google streiten um Bug-Veröffentlichung

Artikel auf Google Plus teilen.
13 Kommentare 13

Googles Internet-Sicherheitsteam, das sogenannte „Project Zero“, existiert seit dem Sommer 2014. Damals kündigte der Suchmaschinen-Riese an, zukünftig aggressiver auf Sicherheitslücken und Fehler in Drittanwendungen reagieren zu wollen, die den gezielten Abgriff von Daten ermöglichen würden.

Google

Googles Chris Evans schrieb damals:

[Online-Nutzer] sollten in der Lage sein das Internet ohne Angst zu benutzen und sich nicht darum sorgen müssen, dass Kriminelle oder staatliche Akteure Softwarefehler ausnutzt, um ihre Computer zu infizieren, Geheimnisse zu stehlen oder um ihre Kommunikation zu überwachen. Dennoch beobachten wir immer wieder die gezielte Ausnutzung von „Zero-Day“-Schwachstellen – etwa gegen Menschenrechtsaktivisten oder im Zuge der Industriespionage. Dies muss aufhören!

Seitdem geht Googles Sicherheitsteam nicht nur hausintern auf Fehlersuche, sondern kontaktiert auch Drittanbieter, deren (Software-)Produkte über Schwachstellen verfügen. Google setzt dabei auf Zeitdruck: Werden Fehler in Drittapplikationen ausfindig gemacht, gewährt der Suchmaschinen-Riese nur eine 90-Tage-Frist ehe die Erkenntnisse veröffentlicht werden.

Software-Anbieter die ins Visier des „Project Zero“ geraten müssen sich dann ins Zeug legen oder laufen Gefahr, durch die angedrohte Publikation Googles, mit massiven Image-Schäden konfrontiert zu werden.

Apple forderte mehrere Fristverlängerungen

Womit wir bei Apple angekommen sind. Am 2. Juni 2016 informierte das „Project Zero“ den iPhone-Hersteller über einen Bug im Apple- bzw. XNU-Kernel der sowohl unter iOS als auch unter macOS dazu führen konnte, dass Drittanwendungen aus ihren Sandboxes ausbrechen und weitgehende Systemrechte erlangen konnten. Eine Analyse des Fehlers hat Google jetzt unter der Überschrift task_t considered harmful veröffentlicht.

Was zum Tagesgeschäft in der Welt der Software-Produzenten gehört, führte jetzt jedoch zu einem Schlagabtausch zwischen Apple und Google, der ganze drei Meetings provozierte und sogar zur Kontaktaufnahme hochrangiger Manager beider Unternehmen führte. Während das „Project Zero“ an seines Disclosure-Frist von 90 Tagen festhalten wollte, forderte Apple mehrfach einen Aufschub der öffentlichen Kommunikation.

Letztlich vergingen nicht 90, sondern 146 Tage ehe Apple die fehlerbehebende macOS-Version 10.12.1 ausgeben und Google seinen Bericht „task_t considered harmful“ veröffentlichen konnte.

Die Chronik im Überblick

  • 2016-06-02 – Ian Beer reports „task_t considered harmful issue“ to Apple
  • 2016-06-30 – Apple requests 60 day disclosure extension.
  • 2016-07-12 – Project Zero declines disclosure extension request.
  • 2016-07-19 – Meeting with Apple to discuss disclosure timeline.
  • 2016-07-21 – Followup meeting with Apple to discuss disclosure timeline.
  • 2016-08-10 – Meeting with Apple to discuss proposed fix and disclosure timeline.
  • 2016-08-15 – Project Zero confirms publication date will be September 21, Apple acknowledges.
  • 2016-08-29 – Meeting with Apple to discuss technical details of (1) „short-term mitigation“ that will be shipped within disclosure deadline, and (2) „long-term fix“ that will be shipped after the disclosure deadline.
  • 2016-09-13 – Apple release the „short-term mitigation“ for iOS 10
  • 2016-09-13 – Apple requests a restriction on disclosed technical details to only those parts of the issue covered by the short-term mitigation.
  • 2016-09-14 – Project Zero confirms that it will disclose full details without restriction.
  • 2016-09-16 – Apple repeats request to withhold details from the disclosure, Project Zero confirms it will disclose full details.
  • 2016-09-17 – Apple requests that Project Zero delay disclosure until a security update in October.
  • 2016-09-18 – Apple’s senior leadership contacts Google’s senior leadership to request that Project Zero delay disclosure of the task_t issue
  • 2016-09-19 – Google grants a 5 week flexible disclosure extension.
  • 2016-09-20 – Apple release a „short-term mitigation“ for the task_t issue for MacOS 10.12
  • 2016-09-21 – Planned publication date passes.
  • 2016-10-03 – Apple publicly release long-term fix for the task_t issue in MacOS beta release version 10.12.1 beta 3.
  • 2016-10-24 – Apple release MacOS version 10.12.1
  • 2016-10-25 – Disclosure date of „task_t considered harmful“
Mittwoch, 26. Okt 2016, 15:38 Uhr — Nicolas
13 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Es ist gut zu wissen, dass das auf beiden Seiten ernst genommen wird.

  • Wenn die beiden Früchtchen die Sache ernst nehmen würden, dann hätte das eine die Lücke schneller geschlossen oder das andere die Info nach 90 Tagen herausgebracht.
    So ist es für mich wie überall: Die Schadstoffgrenze hinaufsetzen, damit es weniger gefährlich wirkt.

  • Die Sicherheit scheint eh der Knackpunkt zu sein, siehe den letzten großen Hackerangriff….

    Alle möglichen Haushaltsgeräte werden mit Anbindung an das Internet verkauft und viele Käufer kümmern sich nicht um die Verschlüsselung der Verbindung ins www.

    Da hat doch der Normalbürger keine Ahnung von, das ausgerechnet “ mein Kühlschrank“ für die Cyperattacke gekapert wird….

    Für den Normalbürger unvorstellbar wie so was geht….

  • Dann sollte sich Google aber auch mal so hingebungsvoll um sein Android-Betriebssystem kümmern. Stagefright ist noch immer nicht vom Tisch und so manche andere Lücke ebenfalls nicht. Aber Hauptsache andere anprangern, das lenkt so schön ab.

    • Das sind zwei paar Stiefel.
      Würde Apple Google anzählen , würde die Reaktion hier anders aussehen.

    • Google macht es wie Apple, gepatched wird nur die aktuelle Version. Und da ist die Lücke geschlossen. Wobei ich relativ sicher bin das andere Hersteller die ältere Version auch patchen können.

      • So einfach ist es dann aber doch nicht: während man bei Apple auch mit einem 4 Jahre alten iPhone noch eine aktuelle Version vom iOS bekommt, ist bei Androiden, die keine zwei Jahre alt sind, Schluss mit Updates. Elektronikschrott mit Restgarantie.
        Und in den Läden werden die Handys mit alten Android-Versionen zu Schleuderpreisen weiter fleißig verschleudert. Hauptsache billig für die Kunden und die Marktanteile der Hersteller werden so auch künstlich am Leben erhalten.

    • Stagefright war innerhalb von 4 Wochen im AOSP vom Tisch… Google hat sogar seit dem monatlichen Security Updates…
      Was einzelne Hersteller machen hat nix mit Android an sich zu tun

      • Natürlich hat das was mit Google zu tun, Android ist deren Betriebssystem. Die hätten das durchaus vernünftig lösen können.

      • Und was ist mit „QuadRooter“ vom August dieses Jahres, von dem 900 Millionen Nutzer betroffen waren? Erst vor ein paar Tagen wurde bekannt, dass sich mit „Drammer“ eine bereits seit 2014 bei Android bestehende Sicherheitslücke mit der Rowhammer-Methode Rootrechte erschleichen lassen. Die „Security“-Updates sind doch nur Beruhigungspillen für die Nutzer. Die Hersteller sind die letzten in dieser Kette – die braten Android auf ihre Geräte und kassieren.

  • Der verlinkte Artikel schliesst irgendwie versöhnlicher als hier dargestellt, inklusive Respektbekundung an die Apple-Softwareingeneure mit enormen Aufwand dieses echte Designflaw behoben zu haben:
    „This is a considerable amount of work, kudos to Apple for the engineering effort they put into fixing these bugs and I look forward to the release of the MacOS 10.12.1 XNU source to see the new code“

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 21682 Artikel in den vergangenen 5778 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2017 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven