Mit der Veröffentlichung von macOS Big Sur hatte Apple im vergangenen November eine neue Maßnahme eingeführt, für die man viel Kritik einstecken musste. So lieferte man eine neue Konfigurationsdatei namens "ContentFilterExclusionList" mit dem neuen Betriebssystem aus, über die gesteuert wird, dass verschiedene Apple-Apps, wie beispielsweise der App Store, FaceTime, der Software Update Dienst oder auch die Musik-App nicht durch lokale Firewalls geblockt oder auch deren Datenverkehr überwacht werden kann. Mit dem Update auf Big Sur Version 11.2, von der man gestern Abend die zweite Betaversion veröffentlicht hat, wird man diese Änderung nun wieder rückgängig machen. Die angesprochene Datei ist in der aktuellen Beta nicht mehr vorhanden.

Ans Tageslicht gekommen waren die Firewall-Sonerberechtigungen für Apple-eigene Apps durch die Probleme, die es beim Rollout von macOS Big Sur im November gab. In diesem Zusammenhang fielen verschiedene Apple-Server aus, wodurch diverse Apps nicht mehr nutzbar waren, da ihre Validität nicht überprüft werden konnte. Als Entwickler daraufhin versuchten, die Kontakierung der Server durch eine Firewall zu blockieren, bemerkten sie, dass dies bei verschiedenen Apple-Apps aufgrund der neuen Konfigurationsdatei nicht funktioniert.

Selbstverständlich stellt eine solche Maßnahme durchaus auch ein Sicherheitsrisiko dar, was auch verschiedene Beispiele aus der Hacker-Szene bereits verdeutlicht haben, in denen es gelungen ist, die Sonderregeln auszunutzen, um Firewallregeln zu umgehen.

Durch den Wegfall der Konfigurationsdatei in der zweiten Beta von macOS Big Sur 11.2 ist es auch Apple-Apps nun nicht mehr möglich, Firewalleinstellungen zu umgehen und werden somit wieder genauso behandelt, wie auch die Apps von AppStore-Entwicklern, wie der Sicherheitsforscher Patrick Wardle berichtet.

Omg we did it! ????

Thanks to the community feedback (and ya, bad press) Apple decided to remove the ContentFilterExclusionList (in 11.2 beta 2)

Means socket filter firewalls (e.g. LuLu) can now comprehensively monitor/block all OS traffic!!

Read more: https://t.co/GJXkRA31e7 https://t.co/BCPqdCjkV0

— patrick wardle (@patrickwardle) January 13, 2021

Apple hatte nach dem Aufkommen der Kritik an der Maßnahme in macOS Big Sur reagiert und sich seinerzeit nicht nur öffentlich entschuldigt, sondern auch Veränderungen angekündigt, um die Arbeit unter der Haube von macOS für den Nutzer transparenter und nachvollziehbarer zu machen. Das Entfernen der "ContentFilterExclusionList" dürfte nun eine erste Konsequenz aus dieser Ankündigung sein.

Im Juli hatte Apple ein neues Apple Security Research Device Program angekündigt, in dessen Rahmen Sicherheitsforscher spezielle iPhones von Apple erhalten können, auf denen sie die Sicherheit der Geräte und von Software testen können. Diese Geräte sind deutlich weniger eingeschränkt als die, die in den Handel kommen. Auf diese Weise wird es einfacher, mögliche Schwachstellen und Sicherheitslücken zu finden und diese an Apple zu melden, damit sie möglichst frühzeitig geschlossen werden können. Apple nennt diese Geräte "Security Research Device" (SRD), auf denen auch ein Shell-Zugriff auf die innersten Innereien des iPhone besteht. Seit der Ankündigung nimmt Apple Bewerbungen zu dem Programm entgegen und hat nun die ersten Sicherheitsforscher infomiert, dass sich die SRDs in Kürze auf den Weg zu ihnen machen (via MacRumors). Apple schreibt zu dem Programm:

If you use the SRD to find, test, validate, verify, or confirm a vulnerability, you must promptly report it to Apple and, if the bug is in third-party code, to the appropriate third party. If you didn't use the SRD for any aspect of your work with a vulnerability, Apple strongly encourages (and rewards, through the Apple Security Bounty) that you report the vulnerability, but you are not required to do so.

If you report a vulnerability affecting Apple products, Apple will provide you with a publication date (usually the date on which Apple releases the update to resolve the issue). Apple will work in good faith to resolve each vulnerability as soon as practical. Until the publication date, you cannot discuss the vulnerability with others.

Voraussetzung wenn man an dem Programm teilnehmen möchte, ist ein aktiver Entwickler-Account, sowie Erfahrung beim Aufspüren von Sicherheitslücken auf Apple-Plattformen. Direkt daran angedockt ist auch Apples "Bug Bounty Program", in dessen Rahmen Hacker und Sicherheitsforscher von Apple bis zu 1,5 Millionen US-Dollar erhalten können, wenn sie eine schwere Sicherheitslücke entdecken und diese an Apple melden.

In Zeiten, in denen noch mehr online geschieht als ohnehin schon, möchte ich noch einmal das Thema VPN auf die Agenda hieven. Der von mir bevorzugte Anbieter ist nach wie vor NordVPN, den die meisten meiner Leser inzwischen sicherlich kennen dürften. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen eines "Black Friday"-Deals erhält man dabei aktuell 2 Jahre lang eine sichere und verschlüsselte VPN-Verbindung mit 68% Rabatt PLUS 3 Monate gratis VPN obendrein.

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über ihre Sicherheit machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen, wie beispielsweise beim Zugriff auf Apples neues und vorerst nur in den USA verfügbares Apple Music TV. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

In Zeiten, in denen noch mehr online geschieht als ohnehin schon, möchte ich noch einmal das Thema VPN auf die Agenda hieven. Der von mir bevorzugte Anbieter ist nach wie vor NordVPN, den die meisten meiner Leser inzwischen sicherlich kennen dürften. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen eines "Black Friday"-Deals erhält man dabei aktuell 2 Jahre lang eine sichere und verschlüsselte VPN-Verbindung mit 68% Rabatt PLUS 3 Monate gratis VPN obendrein.

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über ihre Sicherheit machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen, wie beispielsweise beim Zugriff auf Apples neues und vorerst nur in den USA verfügbares Apple Music TV. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

In Zeiten, in denen noch mehr online geschieht als ohnehin schon, möchte ich noch einmal das Thema VPN auf die Agenda hieven. Der von mir bevorzugte Anbieter ist nach wie vor NordVPN, den die meisten meiner Leser inzwischen sicherlich kennen dürften. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen eines "Black Friday and Cyber Monday"-Deals erhält man dabei aktuell 2 Jahre lang eine sichere und verschlüsselte VPN-Verbindung mit 70% Rabatt PLUS die Chance auf bis zu 2 Jahre gratis VPN obendrein. Im Rahmen eines Gewinnspiels bekommt man nämlich zusätzlich zu dem gekauften Paket ein kostenloses 1-Monats-, 1-Jahres- oder 2-Jahres-Paket. Alle Infos dazu gibt es hier.

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über ihre Sicherheit machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen, wie beispielsweise beim Zugriff auf Apples neues und vorerst nur in den USA verfügbares Apple Music TV. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

Bereits vor einiger Zeit hat Apple sein "Bug Bounty Programm" ins Leben gerufen, über das Sicherheitsforscher und Hacker entdeckte Bugs und Sicherheitslücken in Apples Systemen melden können und je nach Schwere hierfür teilweise recht ordentlich entlohnt werden. Eine Gruppe von Hackern hat an diesem Programm teilgenommen und für die 55 entdeckten Sicherheitslücken insgesamt übrt 50.000,- US-Dollar von Apple erhalten. Ihr Erfahrungsbericht gibt nun erstmals einen kleinen Einblick in das Programm und Apples Umgang mit den gemeldeten Lücken.

Insgesamt durchwühlten Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb und Tanner Barnes Apples Systeme drei Monate lang nach Sicherheitslücken, wobei sie auf die angesprochenen 55 Probleme stießen, von denen einige schwerer, andere weniger schwer waren. Vor allem in Bezug auf die eigenen Server, sowie bei Diensten wie iCloud und Co. reagierte Apple auf die besonders schweren gemeldeten Lücken teilweise extrem schnell und stopfte diese innerhalb weniger Stunden.

Overall, Apple was very responsive to our reports. The turn around for our more critical reports was only four hours between time of submission and time of remediation.

Auch in Sachen Entlohnung ließ sich Apple nicht lumpen und zahlte an die Hacker-Gruppe bis zum vergangenen Sonntag bereits 51.500 US-Dollar. Davon entfielen 5.000,- Dollar auf eine Lücke, durch die die Klarnamen von iCloud?-Nutzern abgegriffen werden konnten, 6.000,- Dollar für das Aufspüren von IDOR (Insecure Direct Object Reference) Sicherheitslücken, 6.500,- Dollar für eine Lücke, die das Eindringen in Apples interne Systeme ermöglichte und und 34.000,- Dollar für eine Sicherheitslücke, durch die sich Nutzerdaten abgreifen ließen.

Insgesamt loben die Hacker die Zusammenarbeit mit Apple im Rahmen des "Bug Bounty" Programms. Das Programm sei ein Schritt in die absolut richtige Richtung und Apple zeigte sich nicht nur äußerst schnell bei der Behebung der Lücken, sondern auch durchaus kommunikativ gegenüber den Hackern. Mit Apples Erlaubnis hat die Gruppe um Sam Curry nun einen ausführlichen Bericht veröffentlicht, aus dem diverse weitere Details hervorgehen und der absolut einen Abstecher wert ist.

In Zeiten, in denen noch mehr online geschieht als ohnehin schon, möchte ich noch einmal das Thema VPN auf die Agenda hieven. Der von mir bevorzugte Anbieter ist nach wie vor NordVPN, den die meisten meiner Leser inzwischen sicherlich kennen dürften. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen des "Schlussverkaufs" erhält man dabei aktuell wie gewohnt 3 Jahre lang eine sichere und verschlüsselte VPN-Verbindung zum Preis von nur € 3,11 pro Monat

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über seine Daten machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen. Ein Umstand, der demnächst auch den Videodienst TikTok betreffen könnte. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

Bereits im vergangenen Jahr hatte Apple sein Apple Security Research Device Program angekündigt, in dessen Rahmen Sicherheitsforscher spezielle iPhones aus Cupertino zur Verfügung gestellt bekommen, auf denen sie die Sicherheit der Geräte und von Software testen können. Dieses Programm ist nun offiziell gestartet. Interessierte Sicherheitsforscher können sich dafür bewerben und erhalten von Apple daraufhin Geräte, die deutlich weniger eingeschränkt sind, als die, die in den Handel kommen. Auf diese Weise wird es einfacher, mögliche Schwachstellen und Sicherheitslücken zu finden und diese an Apple zu melden, damit sie möglichst frühzeitig geschlossen werden können. Apple nennt diese Geräte "Security Research Device" (SRD), auf denen auch ein Shell-Zugriff auf die innersten Innereien des iPhone besteht. Apple schreibt zu dem Programm: