Vorhin hatten wir die AirPods Max bereits in den News, jetzt haben wir sie nochmal. Wenngleich mit einem deutlich weniger schönen Thema. So mehren sich inzwischen Berichte von Nutzern, die sich über einen rasant leerenden Akku beschweren. Unter anderem finden sich entsprechende Berichte in den MacRumors-Foren. Dort berichtet ein Nutzer, dass er die AirPods mit 85% Restlaufzeit aus dem Case genommen, anschließend ca. 15 Minuten genutzt und sie dann wieder zurück gepackt habe. Am nächsten Morgen erhielt er dann eine Meldung seines iPhones, wonach die AirPods nur noch 5% Akku hätten. Offenbar haben sich die Kopfhörer nicht wie von Apple geplant in dem Case in den Lowpower-Modus versetzt.

Die Meldungen passen ein Stück weit zu den kürzlich bereits diskutierten Energiesparmodi der AirPods Max, die Apple daraufhin noch einmal in einem entsprechenden Support-Dokument erklärte. So sollen die Kopfhörer eigentlich in einen Low-Power-Modus wechseln, sobald sie im mitgelieferten Case stecken. Verbleiben sie dort für mindestens 18 Stunden, wird der noch stärker energiesparende Ultra-Lowpower-Modus aktuviert. Manuell in einen der beiden Modi versetzen oser ausschalten lassen sich die AirPods Max nicht.

Offenbar gibt es einen kleineren Bug unter macOS Big Sur auf einem Apple Silicon Mac, wie verschiedene Nutzer im Netz, unter anderem bei den Kollegen von MacRumors, in den Apple Support-Foren und auf Reddit berichten. Demnach hängt der Fehler offenbar mit dem neuen schnellen Nutzerwechsel zusammen, der es unter Big Sur ermöglicht, den gerade angemeldeten Nutzer zu wechseln, ohne diesen komplett abmelden zu müssen. Bei diesem Vorgang kann es allerdings offenbar vorkommen, dass sich plötzlich der Bildschirmschoner aktiviert und auch nicht wieder zum Verschwinden bewegen lässt. In diesem Fall bleibt auch der Mauszeiger auf dem Bildschirmschoner sicht- und bewegbar, wirkt sich allerdings nicht auf die Aktivität des Bildschirmschoners aus.

Um sich aus diesem Modus zu befreuen, hilft es dann nur noch, den Deckel des MacBooks zu schließen und wieder zu öffnen, den Powerknopf kurz zu betätigen oder die Tastenkombination "Alt-Command-Q" zu betätigen, um zurück zum Login-Bildschirm zu gelangen. Man kann stark davon ausgehen, dass Apple sich der Sache mit einem kommenden macOS-Update annehmen wird. Ist man betroffen und möchte man die Veröffentlichung des Updates ein wenig beschleunigen, kann man den Bug über Apples Feedback-Webseiten melden.

YouTube Direktlink

Bereits kurz nach dem Verkaufsstart der ersten Macs mit M1-Prozessor kamen Berichte über Verbindungsprobleme mit Bluetooth-Peripherie wie Mäusen oder Tastaturen aber auch Apples AirPods auf. Diese reichten von gar nicht erst zustandekommenden Verbindungen bis hin zu regelmäßigen Abbrüchen einer bestehenden Verbindung. Bislang war unklar, ob es sich hierbei um ein Problem handelt, welches Apple softwareseitig aus der Welt schaffen kann oder ob es doch ein wenig tiefer liegt. Nun sieht es aber danach aus, als sollte es sich Gott sei Dank doch mittels Softwareupdate lösen lassen. So berichtet der The Atlantic Redakteur Ian Bogost, dass er selbst von den Problemen betroffen sei und Apple ihm mitgeteilt habe, dass ein korrigierendes Softwareupdate in Arbeit sei, welches in Kürze erscheinen würde.

Solved my M1 Mac Bluetooth issues by plugging in my keyboard and buying a Logitech mouse with its own Bluetooth dongle.

(Apple tells me a MacOS fix is in progress and forthcoming just about anytime. But jeez.)

— Ian Bogost (@ibogost) January 10, 2021

Mit der Apple Watch Series 6 und der Apple Watch SE hat Apple seiner Smartwatch erstmals einen ständig aktiven Höhenmesser verpasst, der auch direkt mit der Messung der Sauerstoffsättigung im Blut zusammenarbeitet. Wie es aussieht, lässt sich dieser Höhenmesser allerdings durch bestimmte Wetterbedingungen aus dem Konzept bringen, wie die Kollegen vom iPhone-Ticker berichten. Zwar arbeitet die Messung die meiste Zeit über zuverlässig, teilweise werden jedoch Wert angegeben, die um 200 bis 300 Meter über der Höhe des eigentlichen Standorts liegen. Aus Berichten in den Apple Support-Foren geht hervor, dass ein anhaltendes Tiefdruckgebiet über Deutschland offenbar für die fehlerhaften Anzeigen verantwortlich ist. Dies kann durchaus als normal angesehen werden, da der Höhenmesser in der Apple Watch unter anderem auf Basis barometricher Daten arbeitet.

Andere Smartwatchtes, wie beispielsweise meine Garmin fenix 6 Pro (€ 760,33 bei Amazon) erlaubt in diesem Fall das manuelle Neukalibrieren des Standorts. Auf der Apple Watch ist dies allerdings nicht möglich. Leider gibt Apple auch keinerlei Informationen dazu, wie oft die Apple Watch sich selbst kalibriert. Der Höhenmesser arbeitet dort auf Basis einer Mischung aus GPS-Daten umliegenden WLANs und ebem den barometrischen Werten.

Auf die Funktionsfähigkeit der Apple Watch und auch die ermittelten Leistungs- und Gesundheitsdaten sollte das Problem keine größeren Auswirkungen haben, da die Watch den Höhengewinn bei Outdoor-Workouts immer in Relation zum Startpunkt ermittelt. Warum in diesem Falle allerdings nicht die GPS-Informationen für eine Korrektur der verfälschten Höhe genutzt werden, ist unklar. Möglicherweise korrigiert Apple dies mit einem kommenden watchOS-Update.

Apples AWDL-Protokoll dürften vermutlich die wenigsten Otto-Normal-Nutzer kennen. AWDL steht dabei für "Apple Wireless Direct Link" und wird von Apple unter anderem für den Aufbau von Ad-Hoc Netzwerken zwischen Geräten verwendet, über das dann beispielsweise die Datenübertragung via AirDrop realisiert wird. Bereits in der Vergangenheit wurden über dieses Protokoll allerdings auch verschiedene Schwachstellen ausgenutzt, wodurch sich potenzielle Angreifer Zugriff auf verschiedene Daten auf einem kompromittierten iPhone verschaffen konnten. Diese Angriffe waren allerdings Kinderkram verglichen mit dem, was der Sicherheitsforscher Ian Beer nun aufgedeckt hat.

Beer ist in Googles "Projekt Zero" Projekt tätig, welches es sich zum Ziel gesetzt hat, Sicherheitslücken in den verschiedensten Systemen aufzudecken. Seine entdeckung hat der Sicherheitsforscher nun in einem 30.000 Wörter umfassenden Artikel unter dem Titel "An iOS Zero-Click Radio Proximity Exploit Odyssey" zu Protokoll gebracht. Wer technisch interessiert ist, sollte dem verlinkten Artikel durchaus mal einen Besuch abstatten. Zusammengefasst gelang es Beer durch die Ausnutzung einer Schwachstelle im AWDL-Protokoll, konkret einen ausgelösten Pufferüberlauf, die komplette Kontrolle über ein beliebiges iPhone in der Nähe zu übernehmen. Dies umfasst den root-Zugriff auf iOS, aber natürlich auch den Zugriff auf sämtliche auf dem Gerät gespeicherte Daten wie Fotos, Nachrichten, E-Mails, Kontakte, etc.

Die ganz große Panik muss dabei zunächst nicht aufkommen, denn Apple hatte die Lücke nach einem Hinweis aus der Security-Community bereits im Mai mit der Freigabe von iOS 13.5 gestopft. Allerdings ist das AWDL-Protokoll wie gesagt nicht das erste Mal in Sachen Sicherheit unter Beschuss. Insofern bleibt zu hoffen, dass Sicherheitsforsche wie Ian Beer auch weiterhin aktiv bleiben und mit den Anbietern von Technik-Gadgets zusammenarbeiten um Lücken zu entdecken und frühzeitig zu stopfen, bevor sie von Hackern und anderen Angreifern, aber auch von Behörden großflächig ausgenutzt werden können.

Als Apple auf der diesjährigen WWDC ankündigte, dass es mit iOS 14 erstmals möglich sein würde, verschiedene Standard-Apps, wie beispielsweise den Browser oder die Mail-Anwendung nach eigenem Wunsch zu setzen, wurde dies von vielen Beobachtern mit Wohlwollen zur Kenntnis genommen. Bei der Umsetzung tut sich Apple dann aber doch unerwartet schwer. So war es bei den ersten Versionen von iOS 14 so, dass das System eine einmal gesetzte Standard-App nach einem Neustart des Geräts wieder vergessen hat und entsprechend wieder Safari und Mail als Standard nutzte. Apple behob das Problem mit einem der ersten Bugfix-Updates.

Nun taucht jedoch offenbar ein neues Problem in diesem Zusammenhang auf. Und zwar "vergisst" das System die gesetzten Standard-Apps auch dann, wenn diese Drittanbieter-Apps aktualisiert werden, sprich ein Update erhalten. Auch in diesem Fall wird die Standard-App wieder auf Safari oder Mail zurückgesetzt, wie die Kollegen von The Verge berichten und auch nachstellen konnten. Entsprechen muss man die Wunsch-Apps nach einem Update (zu erkennen an einem blauen Punkt links neben dem App-Namen auf dem Homescreen) neu als Standard setzen.

In den aktuellen Betas von iOS bzw. iPadOS 14.2 soll der Bug bereits behoben sein, so dass hier zumindest ein Licht am Ende des Tunnels zu sehen ist.

Bereits vor einiger Zeit hat Apple sein "Bug Bounty Programm" ins Leben gerufen, über das Sicherheitsforscher und Hacker entdeckte Bugs und Sicherheitslücken in Apples Systemen melden können und je nach Schwere hierfür teilweise recht ordentlich entlohnt werden. Eine Gruppe von Hackern hat an diesem Programm teilgenommen und für die 55 entdeckten Sicherheitslücken insgesamt übrt 50.000,- US-Dollar von Apple erhalten. Ihr Erfahrungsbericht gibt nun erstmals einen kleinen Einblick in das Programm und Apples Umgang mit den gemeldeten Lücken.

Insgesamt durchwühlten Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb und Tanner Barnes Apples Systeme drei Monate lang nach Sicherheitslücken, wobei sie auf die angesprochenen 55 Probleme stießen, von denen einige schwerer, andere weniger schwer waren. Vor allem in Bezug auf die eigenen Server, sowie bei Diensten wie iCloud und Co. reagierte Apple auf die besonders schweren gemeldeten Lücken teilweise extrem schnell und stopfte diese innerhalb weniger Stunden.

Overall, Apple was very responsive to our reports. The turn around for our more critical reports was only four hours between time of submission and time of remediation.

Auch in Sachen Entlohnung ließ sich Apple nicht lumpen und zahlte an die Hacker-Gruppe bis zum vergangenen Sonntag bereits 51.500 US-Dollar. Davon entfielen 5.000,- Dollar auf eine Lücke, durch die die Klarnamen von iCloud?-Nutzern abgegriffen werden konnten, 6.000,- Dollar für das Aufspüren von IDOR (Insecure Direct Object Reference) Sicherheitslücken, 6.500,- Dollar für eine Lücke, die das Eindringen in Apples interne Systeme ermöglichte und und 34.000,- Dollar für eine Sicherheitslücke, durch die sich Nutzerdaten abgreifen ließen.

Insgesamt loben die Hacker die Zusammenarbeit mit Apple im Rahmen des "Bug Bounty" Programms. Das Programm sei ein Schritt in die absolut richtige Richtung und Apple zeigte sich nicht nur äußerst schnell bei der Behebung der Lücken, sondern auch durchaus kommunikativ gegenüber den Hackern. Mit Apples Erlaubnis hat die Gruppe um Sam Curry nun einen ausführlichen Bericht veröffentlicht, aus dem diverse weitere Details hervorgehen und der absolut einen Abstecher wert ist.

Erst vor wenigen Tagen sorgte Instagram für negative Schlagzeilen als bekanntwurde, dass die Facebook-Tochter heimlich biometrische Daten seiner Nutzer speichern würde. Nun kommt ein weiterer Fehltritt ans Tageslicht. Immerhin ist Instagram dabei proaktiv vorgegangen. Wie die Kollegen von TechCrunch berichten, wurde nämlich von einem externen Sicherheitsforscher ein Bug in der Foto-Plattform entdeckt, der dazu führte, dass Fotos und private Nachrichten noch ein Jahr nachdem diese eigentlich von den Nutzern gelöscht wurden, auf den Instagram-Servern gespeichert waren. Instagram belohnte den Sicherheitsforscher Saugat Pokharel mit 6.000,- US-Dollar aus seinem Bug Bounty Programm.

Konkret steckte der Bug in einer Funktion, die Instagram im Rahmen der DSGVO eingeführt hatte. Hierüber ist es den Nutzern möglich, sämtliche ihrer Daten von den Servern des Anbieters herunterzuladen und diese anschließend löschen zu lassen. Letzteres ist jedoch offenbar nicht geschehen. Der Bug wurde inzwischen gefixt. Instagram erklärte zu dem Fund:

"The researcher reported an issue where someone's deleted Instagram images and messages would be included in a copy of their information if they used our Download Your Information tool on Instagram. We've fixed the issue and have seen no evidence of abuse. We thank the researcher for reporting this issue to us."