Die Nutzung von IT-Funktionen, bei denen es um die persönlichen Daten der Nutzer, wie Login-Informationen oder ähnliches geht, ist stark vom Vertrauen der User abhängig. Umso ärgerlicher ist es, wenn bekannt wird, dass diese Funktionen fehlerhaft sind oder Sicherheitslücken aufweisen. Dies ist blöderweise nun auch bei "Sign in With Apple" aufgetreten. So hat der Sicherheitsforscher Bhavuk Jain im April eine kritische Sicherheitslücke in der Apple-Funktion entdeckt, durch dies es möglich war, dass ein Angreifer die Kontrolle über einen hiermit verbundenen Nutzer-Account erlangt. Der Bug betraf Drittanbieter-Anwendungen, die zwar "Sign in With Apple", jedoch keine weiteren Sicherheitsfunktionen implementiert hatten.

Die von Jain entdeckte Sicherheitslücke in "Sign in With Apple" basiert auf der Anmeldung eines Nutzers mithilfe eines "JSON Web Token" (JWT) oder einem von einem Apple-Server generierten Code. Anschließend fragt Apple den Nutzer, ob er seine tatsächliche E-Mail Adresse oder eine zufällig generierte iCloud-Adresse nutzen möchte, woraufhin der JWT generiert wird, um sich an dem jeweiligen Dienst anzumelden. Jain entdeckte dann, dass für den Fall, dass jeweils ein JWT sowohl für die normale E-Mail Adresse als auch für die iCloud-Adresse generiert und durch Apples Public Key verifiziert wurde, das Token als korrekt gekennzeichnet wurde und somit ein JWT erzeugt werden konnte, um sich hiermit Zugriff zu einem mit "Sign in With Apple" gesichert Account zu verschaffen. Gegenüber The Hacker News betonte Jain noch einmal die große Gefahr, die von dem Bug ausging.

Apple stellte daraufhin Untersuchungen an und stellte fest, dass die Lücke bislang nicht ausgenutzt wurde. Inzwischen wurde sie selbstverständlich behoben und Bhavuk Jain im Rahmen von Apple Security Bounty Program mit 100.000,- US-Dollar für die Entdeckung belohnt.

Ein kurzer Einwurf in Sachen AppStore-Bug, der Ende vergangener Woche diverse Nutzer mit der Meldung "Diese App wird nicht mehr mit dir geteilt. Für die Verwendung musst du sie im App Store kaufen" geplagt hatte und bei dem man man nichts weiter tun konnte, als die Meldung entweder wegzuklicken oder sich in den AppStore schicken zu lassen. Anfang der Woche erschienen dann diverse App-Updates, die Apple in den vergangenen zwei Wochen veröffentlicht hatte erneut, was seinerzeit bereits auf den Bug zurückgeführt wurde. Nun liegt hierfür auch die offizielle Bestätigung vor. Gegenüber den Kollegen von TechCrunch erklärte Apple nun, dass man sich des Bugs angenommen und ihn aus der Welt geschaffen habe, ohne weiter auf die Hintergründe einzugehen. Vermutlich waren es also in der Tat die neuveröffentlichten Updates. die das Problem behoben haben.

Wer heute Morgen einen Blick in den Update-Bereich des iOS-AppStore wirft, wird dort mehr Aktualisierungen als an einem Morgen gewohnt vorfinden. In meinem Fall waren es beispielsweise satte 36 Stück und es trudeln immer noch welche ein. Wie es aussieht, hat Apple nämlich eine ganze Reihe Updates erneut veröffentlicht, die bereits in den vergangenen Tagen erschienen waren. Teilweise liegen die in den Aktualisierungen angegebenen Veröffentlichungsdaten mehr als 10 Tage zurück. Eine offizielle Erklärung für die erneute Veröffentlichung der Updates gibt es derzeit nicht. Es kann allerdings davon ausgegangen werden, dass diese mit dem kürzlich beobachteten Problem bei einigen Apps zusammenhängt, bei denen direkt beim Start die Meldung "Diese App wird nicht mehr mit dir geteilt. Für die Verwendung musst du sie im App Store kaufen" angezeigt wurde und man nichts weiter tun konnte, als sie entweder wegzuklicken oder sich in den AppStore schicken zu lassen.

Seinerzeit wardavon ausgegangen worden, dass das Problem mutmaßlich mit iOS 13.5, mit iCloud oder mit dem AppStore zusammenhängen könnte. Die Neuveröffentlichung der Updates könnte nun aber auch auf ein möglicherweise abgelaufenes Zertifikat oder ein anderweitiges internes Problem hindeuten.

Nutzer von iOS 13.5 werden aktuell teilweise von einem nervigen Bug geplagt, der verschiedene, teils namhafte Apps betrifft und von der Familienfreigabe herrührt. So wird direkt beim Start der App die Meldung "Diese App wird nicht mehr mit dir geteilt. Für die Verwendung musst du sie im App Store kaufen" angezeigt und man kann nichts weiter tun, als sie entweder wegzuklicken oder sich in den AppStore schicken zu lassen. Apple selbst hat sich zu dem Problem bislang nicht geäußert und es ist unklar, ob es mit iOS 13.5, mit iCloud oder mit dem AppStore zusammenhängt.

In den sozialen Medien werden immerhin bereits Workarounds gehandelt, mit denen sich das Problem angeblich temporär beheben lässt. So soll es helfen, wenn man die betroffenen Apps iOS-Funktion "auslagert". Hierzu begibt man sich in die Einstellungen und dort in den Bereich "Allgemein > iPhone-Speicher". Hier kann man dann die Option "Apps auslagern" aktivieren. Beim Auslagern der jeweiligen App bleiben die darin gespeicherten Daten auf dem Gerät erhalten, die App selbst wird jedoch gelöscht. Nach einer Neuinstallation aus dem AppStore sollte sie dann (zunächst erstmal) wieder funktionieren.

Die App "Digitale Bilder" gehört zum Umfang einer jeder macOS-Installation standardmäßig dazu, auch wenn die meisten sie vermutlich noch nie genutzt haben. Da ich selber mich aber weiterhin weigere, die Funktion iCloud-Fotos auf meinem iPhone zu nutzen, kommt sie bei mir durchaus hin und wieder mal zum Einsatz, um einzelne Fotos von meinem iPhone auf den Mac zu übertragen. Dies geht zwar auch recht ordentlich per AirDrop, ist über die angesprochene App bei einer höheren Anzahl von Bildern per USB-Kabel dann doch deutlich schneller.

Nun haben die Entwickler der App NeoFinder jedoch einen einigermaßen ungewöhnlichen Bug im Zusammenhang mit dieser App entdeckt und in einem Blogbeitrag öffentlich gemacht. Demnach kann der Fotoimport über Digitale Bilder auf dem Mac unter macOS Catalina zu einem echten Speicherfresser werden. Dies kann geschehen, wenn mandie Bilder auf dem iPhone mit aktivierter High Efficiency Option speichert, also im standardmäßigen HEIF-Format. Hat man dann auch noch die Option "Originale behalten" in den Fotos-Einstellungen auf dem iPhone deaktiviert, konvertiert macOS alle Fotos beim Import in das JPG-Format.

Soweit, so gut. Das Problem ist jedoch, dass während dieser Konvertierung nun pro Foto 1,5 MB an nutzlosen Daten hinzugefügt werden, wodurch die Speicherbelegung der Fotos grundlos steigt. Nachdem sich die Entwickler von  NeoFinder die Bilder in einem Hex-Editor angeschaut hatten, stellten sie fest, dass ein nur aus Nullen bestehender Bereich zu den konvertierten Fotos hinzugefügt wurden. Würde man also 1.000 Bilder von einem iPhone oder iPad importieren, hätte man auf einen Schlag ohne Grund  oder Nutzen zusätzliche 1,5 GB an Speicher belegt.

Die Entdecker haben Apple bereits über den Bug informiert, es ist allerdings unklar, wann mit einer Behebung zu rechnen ist. Eine Möglichkeit im regulären Updatezyklus wäre macOS 10.15.5, welches sich bereits im Betastadium befindet. Bis dahin gibt es allerdings auch nur wenige Gründe, die Konvertierung bei der Übertragung der Fotos auf einem Mac zu aktivieren. Der Mac versteht sich auch auf das HEIF-Format, weswegen man auf dem iPhone die Option "Automatisch" für das Übertragen der Fotos auf einen Mac oder PC aktivieren und hierdurch das oben geschilderte Szenario vermeiden kann.

Manche Bugs sind einfach nicht kaputt zu kriegen. Immer wieder tauchen bestimmte Zeichenkombinationen auf, mit denen sich ein iPhone, iPad, Mac oder eine Apple Watch zum Absturz bringen lassen kann, sobald man diese als Textnachricht oder per E-Mail erhält. Während der letzte bekannte Fall aus dem Jahr 2018 stammt, als eine bestimmte Zeichenkette in der Telugu-Sprache zum Crash führen konnte, ist es aktuell eine Kombination aus dem italienischen Flaggen-Emoji und bestimmten Zeichen aus der Sindhi-Sprache, die die Geräte zum Absturz bringen. Dies geschieht bereits beim Empfang einer entsprechenden Nachricht und der daraufhin auf dem Display erscheinenden Benachrichtigung.

In den letzten Fällen hat Apple jeweils vergleichsweise schnell reagiert und das Problem mit einem iOS-Update behoben, was auch dieses Mal weider der Fall sein dürfte. Wie ein Leser der Kollegen von MacRumors verkündet, soll dies beispielsweise bereits in der zweiten Beta von iOS 13.4.5 behoben sein. Da aktuell auch weiterhin der inzwischen zur Genüge thematisierte Mail-Bug in iOS existiert, dürfte in der kommenden Woche mit einem entsprechenden Bugfix-Update für beide Probleme zu rechnen sein.

Die einzige Möglichkeit, wie man sich bis zum Erscheinen des Updates gegen das Problem wehren kann ist es, vorübergehend die Display-Benachrichtigung zu iMessage, WhatsApp, Mail und Co. zu deaktivieren.

Kürzlich wurde bekannt, dass die Mail-App auf dem iPhone und dem iPad bereits seit iOS 6 von eine schweren Sicherheitslücke betroffen ist, durch die ein Angreifer potenziell die Mails des Opfers abfangen, verändern oder auch löschen kann. Entsprechend groß war die Aufregung unter einigen Nutzern und der Ruf nach einer baldigen Veröffentlichung eines Updates, welches die Lücke stopft. In der zweiten Beta von iOS 13.4.5 ist dies bereits der Fall. Nun hat Apple offiziell auf das Thema in einem Statement reagiert, welches unter anderem den Kollegen von MacRumors vorliegt. Nach Aussage des Unternehmens geht von der Lücke keine unmittelbare Gefahr für die Nutzer aus. So gibt Apple an:

"Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher's report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users. The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers. These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance."

Zusammengefasst schreibt Apple, dass es sich nicht nur um eine, sondern um drei Lücken handelt, die jedoch jede für sich harmlos seien. Eine Gefahr entsteht nur dann, wenn alle drei Probleme gleichzeitig ausgenutzt werden, was nach Apples Informationen bei noch keinem Nutzer der Fall gewesen sei. Dennoch werde man die bekannten Lücken selbstverständlich in einem demnächst erscheinenden iOS-Update beheben. Ob es sich dabei um das angesprochene iOS 13.4.5 handeln und wann die Aktualisierung erscheinen wird, ist allerdings aktuell unklar.

Während die derzeit aktuellste in Umlauf befindliche offizielle iOS/iPadOS Version die 13.4.1 ist, befindet sich Version 13.4.5 bereits im Betatest. Bislang wurde dieser Vorabversion keine größere Bedeutung beigemessen, ging man doch davon aus, dass es sich um ein reines Bugfix-Update handeln würde. Dies ist auch absolut der Fall, allerdings befindet sich ein Bugfix in dieser Version, die eine durchaus größere Bedeutung haben dürfte. So haben die Sicherheitsforscher von ZecOps eine schwere Sicherheitslücke in Apples Mail-App unter iOS entdeckt, die offenbar auch schon von Angreifern ausgenutzt wurden, wie Motherboard und das Wall Street Journal berichten.

Bei der Lücke kann ein Angreifer laut ZecOps dem Opfer eine Mail schicken, die eine große Menge an Speicher beansprucht. Ist dieser Angriff erfolgreich, kann der Angreifer die Mails des Opfers abfangen, verändern oder auch löschen. Angeblich wurden auf diese Weise bereits mindestens die folgenden Nutzer angegriffen:

• Mitarbeiter eines Fortune 500 Unternehmens aus Nordamerika
• Ein Manager eines japanischen Speditionsunternehmens
• Ein deutscher VIP
• Managed Security Service Provider (MSSPs) aus Saudi Arabien und Israel
• Ein europäischer Journalist

Von den Problemen betroffen sind offenbar sämtliche iOS-Versionen von iOS 6 bis iOS 13.4.1. In der aktuellsten Beta von iOS 13.4.5 soll Apple die Lücken laut ZecOps geschlossen haben. Eine Veröffentlichung für alle Nutzer dürfte in den kommenden Wochen bevorstehen. Möchte man komplett auf Nummer sicher gehen, empfiehl ZecOps bis zur Veröffentlichung die Nutzung einer alternativen E-Mail App wie Gmail oder Outlook, die offenbar nicht von dem Problem betroffen sind.