Sicherheitsforscher aus Googles Project Zero Team haben offenbar bereits im vergangenen November eine schwere Sicherheitslücke im Kernel von macOS entdeckt, pflichtbewusst Apple darüber informiert (was heute ja leider keinesfalls mehr selbstverständlich zu sein scheint) und nach Ablauf der 90-tägigen Geheimhaltungs-Deadline nun Details zu ihr bekanntgegeben. Google zufolge gestattet es die Sicherheitslücke, ein vom Nutzer gemountetes Dateisystem-Image zu modifizieren, ohne dass der Nutzer hiervon etwas mitbekommt. Auf diese Weise kann man sich unter anderem Zugriff auf im Speicher befindliche Inhalte verschaffen.

Bisher hat Apple die Lücke offenbar noch nicht gestopft, soll dies aber für ein kommendes Softwareupdate planen. Die Sicherheitsforscher von Google unterstützen die Ingenieure von Apple derweil bei der Eindämmung des Problems. Bis dahin gelten die Grundregeln der sicheren Nutzung eines Computers, soll heißen: Keine dubiosen Dateien von unbekannten Webseiten herunterladen!

Mit dem Update auf iOS 12.1.4 wollte Apple eigentlich die schwere Sicherheitslücke in Gruppengesprächen über FaceTime behoben und die vorübergehend deaktivierte Funktion wieder aktiviert haben. Wie es aussieht, ist dies jedoch offenbar nicht komplett der Fall. So existiert inzwische ein längerer Foren-Thread bei den Kollegen von MacRumors, in dem Nutzer darüber berichten, dass sie derzeit keine neuen Benutzer zu einem 1-zu-1 Gespräch hinzufügen können. Der entsprechende Button bleibt in diesem Falle schlicht funktionslos. Die derzeit einzige Möglichkeit, Gruppengespräche zu führen und nach und nach weitere Nutzer hinzuzufügen ist, indem man ein Gruppengespräch mit mindestens drei Personen beginnt. Dies scheint Apple auch bereits bewusst zu sein, wenn man den folgenden Tweet mal als Beispiel nimmt.

Derzeit ist unklar, ob und wann sich Apple dieses Problems annimmt. iOS 12.2 befindet sich aktuell im Betastadium. In der letzten Version wurde der FaceTime-Bug allerdings noch nicht behoben, weswegen das Problem hier auch noch nicht nachgestellt werden kann. Ich würde aber mal davon ausgehen, dass Apple spätestens mit der finalen Version von iOS 12.2 die volle Funktionalität der FaceTime-Gruppengespräche wiederherstellen wird.

Das gestern Abend veröffentlichte Update auf iOS 12.1.4 behebt nicht nur die schwere Sicherheitslücke in FaceTime, die vergangene Woche öffentlich wurde, sondern bringt auch weitere Bugfixes mit. Unter anderem werden auch ein Problem mit Live Fotos in FaceTime und zwei Bugs aus Googles Project Zero Projekt behoben.Während FaceTime-Gruppentelefonate unter iOS 12.1.4 inzwischen wieder möglich sind, bleibt die Funktion für ältere iOS-Versionen serverseitig deaktiviert. Möchte man sie nutzen, muss zwangsweise ein Update durchgeführt werden. Auch in der letzten Betaversion von iOS 12.2 ist der Fehler noch nicht behoben und ein FaceTime-Gruppengespräch entsprechend nicht möglich. Apple entschuldigt sich in einem Statement gegenüber den Kollegen von MacRumors erneut für das Problem:

"Today's software update fixes the security bug in Group FaceTime. We again apologize to our customers and we thank them for their patience. In addition to addressing the bug that was reported, our team conducted a thorough security audit of the FaceTime service and made additional updates to both the FaceTime app and server to improve security. This includes a previously unidentified vulnerability in the Live Photos feature of FaceTime. To protect customers who have not yet upgraded to the latest software, we have updated our servers to block the Live Photos feature of FaceTime for older versions of iOS and macOS."

Wer sich für die Details der behobenen Sicherheitslücken in den gestern Abend veröffentlichten Updates interessiert, sei ein Blick in Apples offizielle Support-Dokumente zu iOS 12.1.4 und das ergänzende Update zu macOS 10.14.3 empfohlen.

Wie in der vergangenen Woche nach dem Bekanntwerden der schweren Sicherheitslücke in FaceTime-Gruppengesprächen angekündigt, hat Apple soeben das korrigierende Update auf iOS 12.1.4 veröffentlicht. Bereits nach Bekanntwerden des Problems hatte Apple FaceTime-Gruppengespräche serverseitig deaktiviert und das Problem damit vorübergehend behoben. Mit der nun veröffentlichten neuen iOS-Version soll das Problem endgültig aus der Welt geschaffen und Gruppen-Videochats über FaceTime wieder möglich sein. Für alle älteren iOS-Versionen bleibt die Funktion aber deaktiviert. Apple hatte die FaceTime-Gruppengespräche mit iOS 12.1 eingeführt, ein Update auf die neueste Version sollte dementsprechend für alle Nutzer obligatorisch sein. Die neue Version kann ab sofort von allen unterstützten Geräten OTA geladen werden.

Der deutsche Computer-Sicherheitsspezialist Linuz Henze hat in einem YouTube-Video einen offenbar erfolgreichen Angriff auf den Schlüsselbund unter macOS Mojave demonstriert. Zum Verständnis: Der macOS-Schlüsselbund dient zum sicheren Speichern von Zugangsdaten, Zertifikaten und anderen sicherheitsrelevanten Inhalten. Die von Henze erstellte KeySteal-App benötigt keine Administrator-Rechte und kann dennoch auf sämtliche Inhalte des Schlüsselbundes zugreifen.

YouTube Direktlink

Während das offenbar vorhandene Problem grundsätzlich Apples Aufmerksamkeit erfordert, halte ich Henzes Vorgehen für einigermaßen zweifelhast. So weigert sich der Spezialist, Apple über das Problem und die Art und Weise wie es ausgenutzt werden kann in Kenntnis zu setzen. Dies geschieht aus Protest dagegen, dass Apple zwar ein sogenanntes "Bug Bounty Program" für iOS anbietet, unter dem entdeckte Sicherheitslücken finanziell vergütet werden, für macOS gibt es ein solches Programm jedoch nicht. Dennoch wirft es meiner Meinung nach ein schlechtes Licht auf Henze, die Sicherheitslücke aus diesem Grunde für sich zu behalten. Ethisches Verhalten unter Computer-Sicherheitsspezialisten und in der Szene sieht anders aus.

Apple wird in dieser Woche noch ein Update zur endgültigen Behebung des schweren FaceTime-Bugs aus der vergangenen Woche veröffentlichen. Neben der Sicherheitslücke selbst sorgte auch Apples nicht vorhandener Umgang mit der ersten Meldung des Fehlers für Aufregung. So hatten Grant Thompson und seine Mutter den Bug bereits eine Woche vor dem öffentlichen Bekanntwerden an Apple gemeldet, wurden in Cupertino jedoch nicht erhört. Apple entschuldigte sich später für den schlechten Umgang mit der Fehlermeldung und gelobte Besserung für die Zukunft. Nun berichtet CNBC, dass sich ein "high-level Apple executive" mit dem Teenager und seiner Mutter getroffen habe, um unter anderem diese künftigen Verbesserungen zu sprechen. Zudem deutete er wohl an, dass Grant eine Belohnung im Rahmen von Apples Bug Bounty Program zustehe, mit dem das Entdecken von Fehlern in den Apple-Systemen vergütet wird. Dieses Geld soll seiner Mutter zufolge dann in den College-Besuch von Grant investiert werden. Im Rahmen des Programms zahlt Apple typischerweise zwischen 25.000,- und 200.000,- US-Dollar, abhängig von der Schwere des Fehlers.

Für die kommende Woche hat Apple ein Softwareupdate angekündigt, mit dem man den in den vergangenen Tagen viel diskutierten FaceTime-Bug aus der Welt schaffen wird, durch den es möglich war, unbemerkt vom angerufenen Nutzer dessen Audio- und sogar Videosignal abzugreifen. Gestern hatte Apple hierzu eine erste Entschuldigung ausgegeben und zugleich das angesprochene Update für kommende Woche angekündigt. Nun ist klar, dass die Installation dieses Updates auf iOS 12.1.4 notwendig sein wird, möchte man künftig Gruppentelefonate über FaceTime nutzen. Unter älteren iOS-Versionen wird die Gruppentelefonie-Funktion serverseitig durch Apple deaktiviert bleiben. Grundsätzlich sollte dies kein größeres Problem sein, steht die Funktion doch ohnehin erst seit iOS 12.1 zur Verfügung, weswegen durch die Notwendigkeit von iOS 12.1.4 auch keine Nutzer älterer Geräte ausgeschlossen werden. (via MacRumors)

Inzwischen hat sich auch der Teenager zu Wort gemeldet, der den Bug entdeckt und bereits eine Woche vor dem öffentlichen Bekanntwerden an Apple gemeldet hatte, in Cupertino aber nicht erhört wurde. In einem Interview mit MarketWatch erklärt Grant Thompson dabei, dass er eher zufällig über das Problem gestolpert sei, als er gerade Fortnite auf seiner Xbox spielte und parallel mit Freunden Videochatten wollte. Neun Tage lang hatten er und seine Mutter anschließend versucht, mit Apple zu dem Problem in Kontakt zu treten. Letztlich musste sich Michele Thompson bei Apple als Entwickler registrieren, um einen offiziellen Bugreport abgeben zu können. Hier besteht also definitiv deutlicher Verbesserungsbedarf für den Prozess.

Der schwere FaceTime-Bug, der Anfang der Woche für großes Aufsehen gesorgt hatte, ist sicherlich das Thema der Woche schlechthin. Durch eine einfach auszunutzende Sicherheitslücke war es dadurch möglich, unbemerkt vom angerufenen Nutzer dessen Audio- und sogar Videosignal abzugreifen. Für eine kurzfristige Lösung hat Apple derzeit Gruppenanrufe über FaceTime serverseitig deaktiviert. Eigentlich sollte noch in dieser Woche auch ein Softwareupdate ausgegeben werden, welches das Problem endgültig aus der Welt schafft. Dieses Update verzögert sich allerdings nun doch noch bis zur kommenden Woche, wie Apple in einem Statement gegenüber den Kollegen von MacRumors erklärt. Zugleich entschuldigt man sich darin auch erstmals öffentlich für den Fehler und gibt indirekt zu, dass man bereits vor einigen Tagen davon in Kenntnis gesetzt wurde, die internen Prozesse zur Bearbeitung jedoch verbesserungswürdig sind:

We have fixed the Group FaceTime security bug on Apple's servers and we will issue a software update to re-enable the feature for users next week. We thank the Thompson family for reporting the bug. We sincerely apologize to our customers who were affected and all who were concerned about this security issue. We appreciate everyone's patience as we complete this process.

We want to assure our customers that as soon as our engineering team became aware of the details necessary to reproduce the bug, they quickly disabled Group FaceTime and began work on the fix. We are committed to improving the process by which we receive and escalate these reports, in order to get them to the right people as fast as possible. We take the security of our products extremely seriously and we are committed to continuing to earn the trust Apple customers place in us.