Apple entschuldigt sich bei Sicherheitsforscher

Dirk Jacquemien

29.9.2021

Auch bei iOS 15 sollen die Tokarev gemeldeten Sicherheitslücken nicht geschlossen worden sein.
Auch bei iOS 15 sollen die Tokarev gemeldeten Sicherheitslücken nicht geschlossen worden sein.
Getty Images

Apple hat vertrauliche Meldungen über Sicherheitslücken bei iOS so lange ignoriert, bis deren Entdecker die Geduld verloren und sie öffentlich gemacht hat. Erst jetzt gibt es eine Reaktion von Apple.

Dirk Jacquemien

29.9.2021

Apple hat sich bei einem Sicherheitsforscher entschuldigt, nachdem es dessen Meldungen über Lücken bei iOS über Monate hinweg ignoriert hatte. Denis Tokarev meldete Apple im März und April insgesamt vier Sicherheitslücken – doch nur eine davon wurde bisher geschlossen.

Auf Nachfragen Tokarevs in diesem Monat habe Apple dann nicht mehr reagiert. Bei der einzigen Sicherheitslücke, die von Apple behoben wurde, wurde Tokarev nicht öffentlich von Apple als der Entdecker anerkannt, was eigentlich zum guten Stil in der Tech-Branche gehört.

Vergangene Woche war Tokarevs Geduld dann am Ende. Auf seinem Blog veröffentlichte er die Details zu den Sicherheitslücken, mit denen es auch anderen möglich wurde, diese auszunutzen. Erst dann meldete sich Apple wieder.

Schlechtes Verhältnis mit Hacker-Szene

Man entschuldige sich für die Verzögerung und untersuche noch, wie man die eigenen Kund*innen schützen könne, schrieb Apple laut «Vice» an Tokarev. Dieser nahm an Apples Bug-Bounty-Programm teil. Bei solchen Programmen versprechen Tech-Unternehmen Hacker*innen und Sicherheitsforscher*innen eine monetäre Belohnung, wenn sie Lücken zuerst den Herstellern selbst vertraulich mitteilen.

Für besonders schwerwiegende Sicherheitslücken verspricht Apple den Entdecker*innen sogar eine Million Dollar. Doch Apples Programm steht schon seit einer Weile in der Kritik. Die «Washington Post» berichtete Anfang des Monats von weit verbreiteter Frustration in der Computersicherheitsszene. Apple würde Belohnungen nicht in der versprochenen Höhe auszahlen und generell vor allem durch mangelnde Kommunikationsbereitschaft auffallen.

Sicherheitslücken sind wertvoll auf dem Schwarzmarkt

Einige Forscher*innen und Hacker*innen hätten sich deswegen bereits vom offiziellen Bug-Bounty-Programm abgewendet und verkauften ihre Entdeckungen lieber auf dem Schwarz- oder Graumarkt. Bisher unbekannte Sicherheitslücken bei weit verbreiteter Software – was iOS zweifelsfrei ist – können dort zu viel Geld gemacht werden, teilweise auch in Millionenhöhe.

Dass iOS ein Problem mit unbekannten Sicherheitslücken, den sogenannten 0-Days, hat, wurde in den vergangenen Monaten im Rahmen der Enthüllungen um die Spyware Pegasus deutlich. Diese konnte über Jahre hinweg und von Apple unbemerkt offensichtlich jeweils die neuesten iPhones mit der aktuellsten Version von iOS infizieren.