Mit iOS 12.1.4 und einem Server-Patch behebt Apple einen Fehler in seiner Chat-Software Facetime (CVE-2019-6223). Der Bug erlaubte es unter Umständen, beliebige Personen per FaceTime anzurufen und eine aktive Audioverbindung herzustellen, noch bevor der Angerufene das Gespräch angenommen hat. Das iPhone des Angerufenen wurde damit zu einem Abhörgerät. iOS 12.1.4 steht für iPhones ab Version 5S zur Verfügung. Auch die Tablets ab iPad Air erhalten das Update.
iOS 12.1.4 behebt des Weiteren Schwachstellen in den Komponente Foundation (CVE-2019-7286), IOKit (CVE-2019-7287) und Live Photos (CVE-2019-7288). Letztere steht in Zusammenhang mit dem Facetime-Bug. Weitere Details zu den Fehlern sind nicht bekannt.
Der Facetime-Fehler steckte offenbar nicht in der Client App, sondern in einer serverseitigen Software. Auf seinen Servern hatte Apple kurz nach Veröffentlichung der Schwachstelle auch die Gruppenanrufe gesperrt.
„Wir haben die Gruppen-Facetime Sicherheitslücke auf Apples Servern geschlossen und werden ein Software-Update herausgeben, um die Funktion nächste Woche für Benutzer wieder zu aktivieren“, teilte Apple am vergangenen Freitag mit. „Wir danken der Thompson-Familie für die Meldung des Fehlers. Wir entschuldigen uns aufrichtig bei unseren betroffenen Kunden und allen, die sich Sorgen um dieses Sicherheitsproblem gemacht haben. Wir schätzen die Geduld aller, während wir diesen Prozess abschließen.“
Apple betonte zudem, es habe sofort nach Erhalt der Meldung versucht, den Fehler nachzuvollziehen. Außerdem habe man unverzüglich die Gruppen-Funktion abgeschaltet und mit der Arbeit an einem Fix begonnen. Das Unternehmen räumte aber auch ein, dass das Meldeverfahren für solche Anfälligkeiten verbessert werden müsse, um schneller die richtigen Ansprechpartner zu erreichen.
Vor einer Woche war aufgedeckt worden, dass Nutzer ohne viel Aufwand andere Nutzer ausspionieren können, indem sie einen Facetime-Anruf und unmittelbar danach die Gruppen-Funktion starten. Fügte der Nutzer an der Stelle sich selbst zur Gruppe hinzu, wurde auf dem Geräte des Angerufenen das Mikron aktiviert – noch bevor dieser das Gespräch annehmen oder abweisen konnte.
Der Fall schlug in den USA hohe Wellen und hat einige Abgeordnete dazu bewogen, Apple-CEO einen Brief zu schreibem. Darin (PDF) forderten sie Apple-CEO Tim Cook auf, bis zum 19. Februar Fragen über Apples Reaktion auf die Fehlermeldung zu beantworten. „Als ersten Schritt halten wir es für wichtig, dass Apple transparent über seine Untersuchung der Group-FaceTime-Schwachstelle und die Schritte zum Schutz der Privatsphäre der Verbraucher informiert“, heißt es in dem Brief. „Bis heute glauben wir nicht, dass Apple so transparent war, wie es dieses ernste Problem erfordert.“
Unter anderem möchte der Ausschuss wissen, ob Apple schon vor der Meldung von Thompsons Mutter von dem Fehler wusste, und wenn ja, seit wann. Zudem soll Apple einen Zeitplan vorlegen, der über alle Maßnahmen informiert, die Apple nach Kenntnis des Fehlers eingeleitet hat. Der iPhone-Hersteller soll aber auch darlegen, wie er seine Produkte auf mögliche Schwachstellen testet, bevor sie in den Handel kommen. Unklar ist den Abgeordneten zufolge zudem, warum Apple nach Erhalt der Meldung die Gruppenfunktion von FaceTime nicht früher abgeschaltet hat.
Darüber hinaus soll Apple erklären, ob es plant, Verbraucher über mögliche Verletzungen ihrer Privatsphäre zu informieren und zu entschädigen, die durch den Fehler ausgelöst wurden. Apple soll außerdem offenlegen, ob es von Bugs mit ähnlich weitreichenden Folgen bereits Kenntnis hat.
In der vergangenen Woche war bekannt geworden, dass die Ende Oktober eingeführte Funktion Gruppen-FaceTime fehlerhaft ist und wahrscheinlich über einen Zeitraum von fast drei Monaten das Abhören nahezu beliebiger Personen ermöglichte. Wurde während des Aufbaus eines FaceTime-Anrufs ein Gruppenchat gestartet, aktivierte sich auf dem Gerät des Angerufenen automatisch das Mikrofon – auch wenn der Anruf noch nicht entgegen genommen wurde. Unter Umständen aktivierte der Angerufene sogar ohne sein Wissen die Frontkamera seines iPhones oder iPads.
Apple räumte indes Mängel bei der Verarbeitung von Fehlerberichten ein und kündigte Verbesserungen an. In einer Stellungnahme betonte das Unternehmen zudem, es habe die Gruppenfunktion serverseitig deaktiviert, nachdem seine Techniker alle Details erhalten hätten, um den Fehler nachzuvollziehen. Ein Patch, der die gesperrte Gruppenfunktion wieder freischaltet, soll noch im Lauf dieser Woche erscheinen.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
