Während Apple iTunes unter macOS mit der Veröffentlichung von Catalina zu Grabe getragen und durch separate Apps für Musik, TV und Podcasts ersetzt hat, existiert die Software für Windows auch weiterhin. Auch hierfür wurde in der vergangenen Woche allerdings ein Update veröffentlicht, welches Windows-Nutzer unbedingt installieren sollten. Wie inzwischen bekannt wurde, stopfen iTunes 12.10.1 für Windows und iCloud für Windows 7.14 eine schwere Sicherheitslücke in iTunes und iCloud für Windows, sowie im Bonjour-Protokoll, die Angriffe mit Ransomware auf das Betriebssystem ermöglichte. So ließ sich die Malware über entsprechenden Schadcode in Windows ausführen, da der Apple-Software aufgrund ihrer digitalen Signatur grundsätzlich vertraut wurde.

Bekannt ist inzwischen, dass die BitPaymer-Ransomware in der Lage war, die Lücke auszunutzen und Daten auf de Zielrechner zu verschlüsseln. Meist verlangen die Angreifer anschließend eine Art Lösegeld für die Wiederfreigabe dieser Daten. Ob und wenn ja, inwieweit die Lücke in der freien Wildbahn ausgenutzt wurde, ist aktuell nicht bekannt.

Die Freigabe der allerersten Version des aus iOS hervorgegangenen iPadOS am gestrigen Abend sorgte nicht bei allen Nutzern für erfreute Gesichter. So mehren sich inzwischen die Meldungen von Nutzern des iPad Air 2 aus dem Jahre 2014, dass die Installation des neuen Betriebssystems für größere Probleme sorgt, die das Gerät de facto unbrauchbar machen. Das iPad Air 2 ist das ist das älteste iPad-Modell, welches Apple mit dem neuen iPadOS noch unterstützt. Mein Leser Uwe schreibt mir dazu:

Ich habe schwere Probleme mit dem Aufspielen von OSiPad auf mein iPad Air 2. Nach Laden der Software bekomme ich die übliche Anzeige „Hallo“ und werde gebeten noch einige Eingaben, wie WLAN, Apple-ID usw. zu tätigen. Nach Eingabe meiner ID bricht das System ab und steht wieder bei „Hallo“, d.h. Ich drehe mich im Kreis.

 

Haben andere User gleiche Probleme? Ich werde nun das iPad mit Hilfe des Buckups zurück auf OS 12 setzen.

Andere Nutzer berichten, dass sie iPadOS zwar installieren konnten, anschließend jedoch Probleme bei der Nutzung des Geräts haben. So gibt es offenbar Schwierigkeiten beim Ändern von Einstellungen oder auch der Verbindung zu WLAN- und Mobilfunknetzen. Apple selbst hat sich zu dem Problem bislang nicht geäußert. Solltet ihr jedoch ein iPad Air 2 besitzen und iPadOS noch nicht installiert haben, empfiehlt es sich derzeit vorerst noch bei iOS 12 zu verharren.

Apple hat offenbar in den aktuellen Versionen von iOS 13 und iPadOS einen Bug entdeckt, der dazu führt, dass Drittanbieter-Tastaturen Komplettzugriff auf das System erhalten können, obwohl dies eigentlich untersagt wurde. Der Komplettzugriff kann den Tastatur-Apps zugestanden werden, um zusätzliche Funktionen zu ermöglichen. Wie Apple nun in einem neuen Support-Dokument beschreibt, kann es in bestimmten Situationen passieren, dass der Zugriff auch dann möglich ist, selbst wenn der Nutzer diesen in den Einstellungen nicht aktiviert hat. Apple schreibt dazu:

Third-party keyboard extensions in iOS can be designed to run entirely standalone, without access to external services, or they can request "full access" to provide additional features through network access. Apple has discovered a bug in iOS 13 and iPadOS that can result in keyboard extensions being granted full access even if you haven't approved this access.

Der Bug soll bereits in Kürze mit einem weiteren iOS- und iPadOS-Update aus der Welt geschaffen werden. Besorgte Nutzer können in der Einstellungen-App unter "Allgemein > Tastatur > Tastaturen" man installiert hat. Von dem Bug betroffen sind dabei ausschließlich Drittanbieter-Tastaturen, die die Option für den Komplettzugriff enthalten. Bis zum Erscheinen des angekündigten Updates hilft lediglich das Deinstallieren dieser Tastaturen.

Ich habe kurz überlegt, ob ich diesen Artikel mit dem inzwischen schon beliebten Facepalm-Emoji einleite, mich dann aber doch dagegen entschieden. Schließlich kann jedem mal ein Fehler unterlaufen. Im aktuellen Fall ist dieser Fehler für Apple allerdings mehr als peinlich. So hat man mit der Veröffentlichung von iOS 12.4 offenbar eine Sicherheitslücke wieder geöffnet, die bereits in iOS 12.2 und früher bestand und die man eigentlich schon mit iOS 12.3 geschlossen hatte. Diese Lücke hat inzwischen sogar dazu geführt, dass nun auch wieder ein Jailbreak für Geräte unter iOS 12.4 zur Verfügung steht, wie Motherboard berichtet.

Während der mögliche Jailbreak als solcher sicherlich kein größeres Problem darstellt, macht die wieder geöffnete Lücke iOS-Geräte mit dem neuesten Betriebssystem jedoch auch wieder für den sogenannten "100+ Day Exploit" anfällig, durch den entsprechend programmierte Apps beispielsweise aus ihrer Sandbox ausbrechen und unberechtigt Nutzerdaten abgreifen können. Auch über manipulierte Webseiten ist ein solcher Angriff theoretisch möglich.

Angesichts der Schwere der nun wieder bestehenden Sicherheitslücke und des öffentlichen Bekanntwerdens kann davon ausgegangen werden, dass Apple kurzfristig ein weiteres iOS-Update veröffentlichen wird, welches die Lücke wieder stopft.

Apple hat in der vergangenen Nacht auf der Black Hat Konferenz in Las Vegas eine Ausweitung seines Bug Bounty Programms bekanntgegeben. Wurden seit August 2016 lediglich Prämien für das Entdecken von Bugs in iOS ausgelobt, umfasst das Programm nun auch die anderen Betriebssysteme macOS, tvOS und watchOS sowie iCloud. Das neue Programm steht sämtlichen Sicherheitsforschern und allen interessierten und technisch begabten Nutzern zur Verfügung, die eine Schwachstelle in Apples Software entdecken offen und umfasst einen maximalen Auszahlungsbetrag von nun 1 Million Dollar (ehemals 200.000,- Dollar) pro entdeckter Lücke, je nach Schwere des Bugs. Meldet man Apple das Problem noch während der Betaphase einer Software, kann man hierauf sogar noch einmal maximal 50% Aufschlag verdienen.

Anfang der Woche gab es bereits Meldungen, wonach Apple ausgewählte Sicherheitsforscher auch mit speziellen Versionen des iPhones, sogenannten "Dev Devices" ausstatten wird, mit denen es leichter ist, Fehler im System zu finden. Wie Apple nun ankündigte, werden diese iPhones in der Tat ausgegeben und zwar im Rahmen des neuen, im kommenden Jahr startenden "iOS Security Research Device Program". Apple möchte auf diese Weise weitere Sicherheitsforscher und Hacker dazu motivieren, sich auf die Suche nach Fehlern in seinen Systemen zu begeben und diese vor dem öffentlichen Bekanntwerden an das Unternehmen zu melden, so dass sie schnellstmöglich behoben werden können. (via MacRumors)

Kürzlich sorgte eine schwere Sicherheitslücke in der Mac-Videokonferenzsoftware Zoom für Aufsehen. Durch einen von der App im Hintergrund installierten Webserver war es möglich, sich über eine manipulierte Webseite Zugriff auf die Kamera des Macs zu verschaffen und diese ohne das dies vom Nutzer gewünscht wäre zu starten. Apple schloss die Lücke über ein stilles macOS-Update, welches man auf die Geräte pushte und das die fragliche Software entfernte. Wie The Verge berichtet, hat Apple nun ein weiteres solches Update ausgerollt, mit dem weitere Sicherheitslücken im Zusammenhang mit dem Zoom-Problem gestopft werden. So stellte sich inzwischen heraus, dass auch die Videokonferenz-Apps RingCentral und Zhumu eine ähnliche Praxis anwendeten wie Zoom.

Erneut ist für die Installation des Patches keine Nutzerinteraktion notwendig. Das Update wird automatisch geladen und im Hintergrund installiert, ohne das der Nutzer hiervon etwas mitbekommt.

Auch wenn es manch einer vermutlich schon nicht mehr hören bzw. lesen mag, werde ich nicht müde, auf die Gefahren von Betaversionen neuer Software und im Speziellen neuer Betriebssysteme hinzuweisen. Die inzwischen immer weiter verbreiteten öffentlichen Betas stellen dabei ein besonders großes Problem dar, da sich die Nutzer oftmals gar nicht über die Auswirkungen solcher Versionen bewusst sind und sie einfach nur aus Neugier auf ihren Alltagsgeräten installieren. Unangenehme Nebenwirkungen wie nicht funktionierende Apps, ein langsames System oder auch ein sich schneller entladender Akku sind da keine Seltenheit und sorgen für Unmut bei den unbedarften Nutzern. Ein weiteres Beispeil für eine solche unangenehme Nebenwirkung steckt nun auch in der aktuellen Beta von iOS 13. In diesem Fall handelt es sich um ein ernstes Sicherheitsproblem im Zusammenhang mit Zugangsdaten, die im Bereich "Passwörter & Accounts > Webseite- & App-Passwörter" in den Geräteeinstellungen gespeichert sind.

Hier ist es nämlich in den aktuellen Betaversionen äußerst einfach, den dort eingezogenen Schutz per Face ID oder Touch ID zu umgehen und so die gespeicherten Passwörter in Klartext einzusehen. Die Kollegen von iDeviceHelp haben das Problem in dem unten eingebetteten YouTube-Video noch einmal demonstriert. Im Wesentlichen muss man einfach nur wiederholt auf den Eintrag "Website- & App-Passwörter" tippen und kann so Face ID oder Touch ID austricksen. Selbstverständlich setzt dies voraus, dass ein potenzieller Angreifer bereits Zugriff auf ein entsperrtes Gerät besitzt.

YouTube Direktlink

Apple wurde inzwischen über den Umstand informiert und wird ihn hoffentlich bereits in der nächsten Beta beseitigen. Das Beispiel zeigt jedoch die Gefahr, die von der Installation von Beta-Betriebssystemen auf Alltagsgeräten ausgehen kann und sollte all denjenigen eine Warnung sein, die dies relativ unreflektiert tun.

Vor ein paar Tagen wurde eine schwere Sicherheitslücke in der Videokonferenz-Software Zoom für den Mac bekannt. Diese installierte im Hintergrund einen Webserver, um Einschränkungen zu umgehen, die Apple mit Safari 12 eingeführt hatte. Durch das Akzeptieren von Schadcode konnte dies jedoch dazu ausgenutzt werden, um über eine manipulierte Webseite die Kamera eines Macs zu starten und den Nutzer auf diese Weise potenziell auszuspionieren. In einem Statement hatte Zoom dies eher als Feature denn als Bug verteidigt. Eine Ansicht, der Apple Gott sei Dank so überhaupt gar nicht folgen mag.

So hat das Unternehmen nun Maßnahmen ergriffen, um den von Zoom installierten Webserver aus seinem Betriebssystem zu entfernen. Hierzu hat Apple ein stilles Update für macOS ausgerollt, welches diese Aufgabe übernimmt, die TechCrunch berichtet. Das Update wird automatisch geladen, installiert und ausgeführt, so dass der Nutzer nichts weiter unternehmen muss. Danke dafür an dieser Stelle.

Inzwischen hat nun auch Zoom reagiert und in einem Blogpost angekündigt, dass man über das Wochenende ebenfalls selbst aktiv werde und Nutzern, die die App erstmals ausführen künftig fragen werde, ob die Videokamera standardmäßig deaktiviert sein und nur auf Anforderung eingeschaltet werden soll. Eine späte aber immerhin richtige Einsicht.