Eine Person via FaceTime anrufen, sich dann selbst noch einmal zum Gespräch hinzufügen – und prompt ist eine Audio-Konferenz hergestellt, ohne dass die Gegenseite etwas von einer aktiven Verbindung mitbekommt. Eine von Apples wohl schwersten Sicherheitspannen der letzten Jahre sorgte in dieser Woche für intensive Diskussionen sowie rechtlichen Untersuchungen. Wie berichtet ermittelt beispielsweise die Staatsanwaltschaft von New York, ob Apple viel zu langsam reagierte (siehe diese Meldung: ). Wie sich die Sicherheitslücke mit wenigen Schritten ausnutzen lässt, um einen anderen Nutzer zu belauschen, zeigte beispielsweise MacRumors im folgenden, kurzen Video:


Erst serverseitige Deaktivierung, nun Update
Apples erste Reaktion auf die schwere Sicherheitslücke war, FaceTime-Gruppenanrufe serverseitig zu deaktivieren – Nutzern war es also generell nicht mehr möglich, mehrere Teilnehmer einzuladen. In einer kurzen Stellungnahme hieß es, Apple arbeite an einem Bugfix. Man habe den Fehler identifiziert und wolle noch in dieser Woche ein Software-Update zur Behebung veröffentlichen. Nun hat sich Apple erneut zu Wort gemeldet eine Entschuldigung abgegeben – und die Verschiebung des versprochenen Patches (iOS 12.1.4) angekündigt.


Dank und Entschuldigung
Auf den Servern sei die FaceTime-Sicherheitslücke bereits behoben. In der kommenden Woche folge ein Software-Update, das die Funktionalität zur Gruppentelefonie wiederherstelle – allerdings kann das Update nicht mehr wie geplant noch in dieser Woche erscheinen. Apple bedankt sich zudem bei der Familie Thompson, die den Fehler zuerst gemeldet hatte. Gleichzeitig bitte man alle Kunden um Entschuldigung, die von der Sicherheitslücke betroffen waren oder sich Sorgen machen mussten. Apple nehme Sicherheit extrem ernst – es sei ein wichtiges Anliegen des Unternehmens, weiterhin das Vertrauen der Kunden zu verdienen.

Es dauerte wohl doch etwas zu lange...
Vermutlich auch als Reaktion auf die eingangs erwähnten Ermittlungen betont Apple, sofort zur Tat geschritten zu sein, als man des Problems gewahr wurde. Sobald es dem Entwicklerteam möglich war, den Fehler zu reproduzieren, habe man direkt Gruppen-FaceTime deaktiviert. In Zukunft wolle man aber die Abläufe verbessern, um derlei Meldungen schneller an die verantwortlichen Stellen leiten zu können. Offensichtlich verging also tatsächlich eine Woche zwischen Meldung und Reaktion, da der Kommunikationsweg zwischen Support und Technik zu lang war.