Apple: Geleakter iOS-Source-Code ist veraltet

Anwälte haben die Löschung des Leaks auf GitHub beantragt. Der Code stammt laut Apple aus dem Jahr 2015 und soll Nutzer neuer Geräte nicht betreffen. Apple bestätigt, dass der Leak die Komponente iBoot umfasst.

Apple reagiert auf die Veröffentlichung von Teilen des Source Codes für iOS 9 auf GitHub. Der Code stamme aus dem Jahr 2015. Nutzer neuerer Geräte seien davon nicht betroffen. Jegliche Sicherheitslücke, die sich eventuell über diesen Leak ausfindig machen lässt, sei damit ebenfalls veraltet. Inzwischen ist der Code jedoch nicht mehr über GitHub verfügbar.

Screenshot des iBoot-Leaks auf GitHub.  Der Ausschnitt zeigt Apple als Urheber des proprietären Codes (Screenshot: ZDNet.de) . Screenshot des iBoot-Leaks auf GitHub.
Der Ausschnitt zeigt Apple als Urheber des proprietären Codes (Screenshot: ZDNet.de) .

„Es scheint, dass drei Jahre alter Source Code geleakt wurde“, heißt es von Apple in einer Mitteilung, „aber das Design der Sicherheit unserer Produkte hängt nicht davon ab, dass der Source Code geheim ist. Wir haben viele Hardware- und Software-Schichten, um die Produkte zu schützen und wir raten den Anwendern stets, auf den neuesten Software-Stand zu aktualisieren, um den aktuellsten Schutz zu bekommen.“

Der Code wurde von GitHub nach einem Antrag von Apple-Anwälten gelöscht. Der veröffentlichte Code sei nicht Open Source und falle daher unter den Schutz des Digital Millennium Copyright Act (DMCA). Die Anwälte bestätigen jedoch, dass es sich um Teile des Codes für iBoot handelt, wie es in dem öffentlichen Antrag heißt.

Neben dem ursprünglichen Leak unter ZioShiba/iBoot würde es auch eine wachsende Menge an Forks des Codes geben, die ebenfalls die Apple-Urheberrechte verletzten. Deswegen gehen die Apple-Anwälte mit ihren Forderungen noch einen Schritt weiter: „Wir möchten Sie daher bitten, dass GitHub das gesamte Netz deaktiviert.“ Doch der Source-Code zirkuliert inzwischen auch außerhalb von GitHub, wie Einträge auf Reddit zeigen.

Die Teile von iBoot stammen aus iOS 9 und diese Komponente ist dafür verantwortlich, dass das Betriebssystem sicher startet und dass kein manipulierter Code auf einem iPhone oder iPad gestartet wird. Derzeit laufen nur noch 7 Prozent aller iOS-Geräte mit einer Betriebssystem-Version, die älter ist als iOS 10, das im September 2016 veröffentlicht wurde. Nimmt man jedoch an, dass tatsächlich 1 Milliarde iOS-Geräte auf dem Markt sind, wären das noch immer genug Nutzer, die von einem potentiellen Leck gefährdet wären.

iBoot ist eine wichtige Komponente von iOS. Das zeigt sich auch an der Tatsache, dass Apple 200.000 Dollar Belohnung für entdeckte Lecks in diesem Bereich auslobt. Neben Malware haben in der Vergangenheit auch Jailbreaks, die bestimmte Beschränkungen von Apple umgehen, Lücken in iBoot genutzt, um iPhones zu entsperren.

ANZEIGE

Aktuelle Studie zur Dokumentensicherheit in deutschen Büros

Eine aktuelle Statista-Umfrage (im Auftrag von KYOCERA Document Solutions) hat ergeben: Der deutsche Mittelstand hat Nachholbedarf beim Thema Dokumentensicherheit. Mehr als die Hälfte der befragten Mitarbeiter hat Zugriff auf Dokumente, die nicht für sie bestimmt sind. Weitere Infos und Tipps zur Optimierung erhalten Sie im gratis E-Book. Jetzt herunterladen!

[mit Material von Alfred Ng, CNET.com]

Themenseiten: Apple, GitHub, iOS, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

7 Kommentare zu Apple: Geleakter iOS-Source-Code ist veraltet

Kommentar hinzufügen
  • Am 9. Februar 2018 um 10:47 von M@tze

    Mich erstaunt, dass anscheinend angenommen bzw. es so dargestellt wird, als ob der Source Code damit uninteressant und nicht mehr aktuell wäre?! Danach wären ja nur iOS 9 Geräte angreifbar, wenn über den Source Code Lücken gefunden würden. Ich bezweifle aber stark, dass Apple mit jeder neuen iOS Version sämtliche Teile des OS neu schreibt. Es ist wahrscheinlicher, dass diese Source auch bei iOS 10 weiter verwendet wurde, eventuell mit einigen Anpassungen und einer neuen Versionskennung.

    • Am 9. Februar 2018 um 13:35 von Klaus der Analyst

      Einfache Rechnung: 2015, 2016, 2017 wurden jeweils >200 Mio Geräte (iPhones, iPads) verkauft. Bedeutet, dass etwa die Hälfte der Geräte nicht mehr betroffen sind. Die älteren Geräte, die noch iOS 10 bekommen haben ebenfalls nicht, das dürften ebenfalls 200 Mio Stück sein.

      Der Rest sind laut Apple etwa 600 Mio Stück, die zuvor verkauft wurden. Wenn diese iOS 8 oder älter nutzen, ist ebenfalls fraglich, ob diese betroffen sind. Da diese bereits nicht mehr supportet werden, ist deren Sicherheitsstatus eh gefährdet.

      Ein Vorteil des iOS Ökosystems ist die hohe Bereitschaft neuere Updates zeitnah einzuspielen. Und wenn man nun ein Krimineller ist, dann wird man sich kaum die Mühe machen alte iOS Versionen zu hacken, und da sehr viel Zeit reinzustecken OHNE zu wissen, dass die auch bei neueren iOS Verionen nutzbar sind.

      Wie gesagt: unschön, aber wenn das nur ein Teil eines mehrstufigen Sicherheitskonzeptes ist, dann dürfte das zwar interessant sein, aber das Risiko insgesamt nicht grundlegend erhöhen.

      Selbst wer iOS 9 noch nutzten sollte, wird sein Gerät weiterverwenden können – er sollte sich aber klar sein, dass er eh bereits keine Sicherheitsupdates mehr erhält. Wer hohe Sicherheit haben will, sollte die neueste iOS Version nutzen.

      Und über allen Digen schwebt grundsätzlich die Erkenntnis, dass Diebe und Kriminelle am liebsten dort hin gehen, wo sie mit wenig Aufwand viel Beute machen können. Und der Aufwand eines der vielen Android Systeme zu hacken, die kaum Updates gesehen haben, dürfte selbst verglichen mit iOS 9 noch erheblich geringer sein.

      • Am 11. Februar 2018 um 22:38 von Coder

        Bischen viel Vermutungen in Deinem Applegelabere. Zeigt vor allem, dass Du weder vom Coden noch von digitaler Sicherheit einen Plan hast.
        Was macht denn so ein SourceCode so interessant? Die Denke, also das Mindset. Als Coder versteht man WIE dort gedacht und gearbeitet wird. DAS ist was es interessant macht. Ein Vektor aus dem Hut zaubern ist schwer, wenn ich aber weiß wie mein Gegenüber tickt, macht es es viel einfacher einen Vektor zu ersinnen.

  • Am 9. Februar 2018 um 12:56 von WDSE

    Der Source allein würde selbst bei IOS 9 nicht ausreichen, das seit dem A7. (iPhone 5s) zusätzliche Hardwaresicherungen eingebaut sind, z. B., secure enclave
    Auch war der geleakte Source nicht vollständig
    Das ist alles maßlos übertrieben

  • Am 9. Februar 2018 um 13:25 von Klaus der Typo

    Lösung oder Löschung?

    „Anwälte haben die Lösung des Leaks auf GitHub beantragt.“

    Ansonsten wie zuvor beim ersten Artikel geschrieben: es war völlig unklar, ob das überhaupt irgendeine Bedeutung für die Sicherheit hat.

    Aber zumindest dürfte nun klar sein, dass das echt war. Wenn auch laut Apple nutzlos.

    • Am 9. Februar 2018 um 13:49 von Martin Schindler

      Hallo Herr Klaus,

      vielen Dank für den Hinweis, wurde korrigiert.

      Liebe Grüße

      M. Schindler

  • Am 9. Februar 2018 um 14:00 von Rainer N.

    Wenn man sich vor Augen hält wie viele Millionen Zeilen Code für ein OS – egal ob IOS, Linux oder Windows – geschrieben werden dann muss jedem klar sein, dass IOS 11 wohl kaum komplett neu geschrieben wurde. Bestimmt gibt es Funktionen an die seit Jahren schon kein Programmierer mehr Hand angelegt hat und die unverändert durch alle Versionen von IOS mitgenommen worden sind. Dass ist Fakt und deshalb werden die Unterschiede zwischen dem Quellcode von IOS 9 und dem von IOS 11 wohl kaum komplett unterschiedlich sein. Auf jeden Fall kann ein versierter Entwickler erkennen wie und warum etwas so und nicht anders programmiert wurde. Daraus und da bin ich mir sicher können Rückschlüsse und evtl. auch Schwachstellen gefunden werden. Vielleicht ist das Leak für die Sicherheit ja gar nicht so schlecht. Manchmal ist es ganz gut, wenn der Code aus anderer Sicht und aus anderen Beweggründen analysiert wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *