... jetzt vorab die Stellungnahme, damit das Thema auf der Keynote nicht vermisst wird? Strategen.

The Verge nimmt Apples verspätetes Statement, Downplaying und Schuldzuschieben schön auseinander:

The Verge (06.09.2019): The stakes are too high for Apple to spin the iPhone exploits
Apple attacks Google’s credibility instead of focusing on a vulnerable population
Today, Apple responded to Google’s discovery of a major iPhone security flaw with a bristling statement that accused its rival of creating “false impressions.” But Apple did very little to clear up those false impressions, and seems to have created some of its own, as we’ll see by taking a close read.

Ebenso auch hier, wo ein ehemaliger Apple Security Ingenieur dazu zu Wort kommt:

Motherboard/Vice (06.09.2019): Apple Disputes Google’s Claims of a Devastating iPhone Hack
Apple says that Google oversold the nature of the hack and that it quickly fixed the vulnerability.

Ebenso auch hier:

Michael Tsai Blog (06.09.2019): Apple Responds to Project Zero

Bruce Schneier, Schneier on Security (03.+06.09.2019): Massive iPhone Hack Targets Uyghurs

Und hier:

HN reactions:

Nice try, nice PR Move, Apple. Das Ding ist nicht mehr zu retten, das habt ihr gründlich versiebt. Arbeitet an euch, seid einfach besser. Und seid dankbar, dass vor allem Google – noch vor euch – eure eigenen Produkte sicherer macht – ein Job, den ihr eigentlich zuvorderst inhouse selber machen solltet – Geld genug dazu habt ihr (aber offenbar habt ihr nicht die fähigsten Leute).

Derweil:

ZecOps: Announcing Task For Pwn 0 (TFP0) (06.09.2019): Operation #FreeTheSandbox
Win Bounties even for soon-to-be-Patched Bugs

Qui bono? Hinter solchen Behauptungen Googles steht zu viel Eigeninteresse, damit ich mir Mühe würde, das ursprüngliche Körnchen Wahrheit zu suchen.

Eventus:

Du, Google kann's auch sein lassen, sie müssen ihrem Konkurrenten Apple nicht helfen, Fehler in dessen eigenen Produkten zu finden und sie somit (einmal mehr und das nun seit Jahren) sicherer zu machen. Sie können es auch bleiben lassen und die Apple-Produkte-Benutzer (die sie u.a. selber sind) ins offene Messer laufen lassen, Apples Produkte weiterhin so unsicher lassen wie Apple sie lässt, einfach den Mund halten und Apple es selber lösen lassen. So ist es ja nun nicht. Nur: wem wäre damit gedient? Niemandem. Am Wenigsten Apples Nutzern – ganz im Gegenteil.
Etwas mehr respektvolle Dankbarkeit und Demut seitens Apple wäre da schon angebracht, statt arrogante Selbstzufriedenheit, Überheblichkeit, Downplaying und Schlechtreden desjenigen, der mir einmal wieder massiv geholfen hat, mein Produkt besser und sicherer zu machen (zumal es in diesen Fällen im Zweifel sogar um Menschenleben geht), findest Du nicht auch?

sierkb
Klaaar, Google macht das aus Sorge um die Anwender von Apples Produkten. Gutes Google, liebes Google, danke Google! 🤢

The Verge ist genauso ein Scheissladen wie Google auch.

Bleiben die Fakten... die Lücke wurde in IOS12 letztens geschlossen, ist in iOS 10 und 11 nach wie vor offen und der Fehler ist seit 2016 als aktiv gesetzt..

Die Entgegnung hätten sie sich besser gespart denn sie zieht nur bei denen, denen es so oder egal ist was mit ihren Daten geschieht..

Ob nun die Exploids nun für iOS oder Android billiger sind oder nicht geht mir wiederum komplett am A vorbei und zeigt nur welche Energien um Publicity im Hinderung verschleudert werden um im Gespräch zu bleiben und wie das Barometer der Datensicherheit zu interpretieren ist..

Aktuell haben alle in unserer Sicherheitsabteilung auf Schnappatmung umgestellt, weil unabhängig davon ob nun ausgenutzt oder nicht die Sicherheit wissentlich kompromittiert wurde..

Dazu ein paar Fragen:
Woher weiß Apple denn, seit wann die manipulierten Webseiten im Einsatz waren?
Und wenn sie es wissen, wieso hat Apple dann erst reagiert, als Apple von Google auf das Problem aufmerksam gemacht wurde?

Google brauchte zur Aufdeckung.der Lücke auch eine gewisse Zeit. Was vor der Aufdeckung passiert ist, das lässt sich wohl kaum mit Sicherheit sagen.

Woher weiß Apple denn wieviele User durch diese Lücken angegriffen wurden?
Apple konnte das doch erst ab dem Moment nachvollziehen, als Google auf das Problem aufmerksam gemacht hat.

Ein Denkfehler der in dem Zusammenhang häufig gemacht wird ist, zu glauben dass eine Lücke erst ab dem Zeitpunkt ihrer ofiziellen Entdeckung ausgenutzt wird.

https://www.cellebrite.com/en/ufed-premium/

Weils grad so schön passt..

Ebenso, dass an der Schliessung selbiger erst gearbeitet wird, wenn das publik wird.

Da Google so ziemlich alle Webseiten indiziert, und sehr viel mehr Daten aus dem Internet sammelt als Apple, weis Google wohl sehr viel besser als Apple, seit wann die Sicherheitslücke genutzt wurde. Es bleibt jedoch ein Rätsel, warum Google die (ehemals) infizierten Seiten nicht benennt. Gibt es politische oder juristische Gründe? Sind die Seiten überhaupt noch da? Fürchtet Google, daß aufgedeckt wird, auf welche Weise die Lücken gefunden wurden und welche Daten aus dem Internet insgeheim gesammelt werden?

Q:

U.a. hier sind ein paar öffentlich benannt, was ins Visier genommene Android-Targets angeht.

Motherboard (06.09.2019): Apple Disputes Google’s Claims of a Devastating iPhone Hack
Apple says that Google oversold the nature of the hack and that it quickly fixed the vulnerability.

Q:
Alle Tweets von ihm dazu gesammelt:
Q: :
Q:
Q:
Q:

mjtsai.com (06.09.2019): Apple Responds to Project Zero

+1

Klingt so, als würde Google das aus purer Freundlichkeit tun. Da steckt aber auch eine Menge PR dahinter, wenn man Fehler in Konkurrenz-Produkten (von z.B. Microsoft und Apple) findet. Dazu kommt dann noch die Berichterstattung in der Presse: Durch Project Zero gefundene Fehler bei Apple bekommen deutlich mehr Aufmerksamkeit als (sicherlich ähnlich viele) gefundene Fehler bei Android (die wahrscheinlich oft genug rein intern weitergeleitet werden, statt sie an die große PR-Glocke zu hängen).

Google betreibt mitnichten Project Zero, um ausschließlich uneigennützig der Konkurrenz zu helfen – es ist ganz klar (auch) ein PR-Werkzeug – das sollte man nicht vergessen oder herunterspielen.

Natürlich soll das nicht darüber hinwegtäuschen, dass die gefundenen und veröffentlichten Fehler (egal ob gut oder böse gemeint) real sind und schleunigst beseitigt gehören (was ja auch fast immer vor der Veröffentlichung gelingt).

Pixelmeister:

Sie suchen und finden die Fehler aber auch in vielen anderen Produkten (Apples Software ist nur ein Teil davon) – auch den Google-eigenen – und veröffentlichen diese und nicht nur bei Microsoft und Apple (zumal sich Microsoft da dankbarer erweist als Apple und Googles diesbzgl. Arbeit sehr begrüßt).
Für Verfolgungswahn und Opfer-Mimimi ist hier kein Platz.
Nimm's einfach zur Kenntnis, so sehr es auch schmerzen mag: die Jungs und Mädels dort sind einfach gut und tun einen verdammt guten und wertvollen Job, und wir können und sollten uns darüber glücklich schätzen und sollten dankbar dafür sein.

Googles Project Zero Team ist ca. 19 Mann/Frauen stark, jede(r) von denen hat sein Spezialgebiet, wo er/sie besonders gut drin ist (Ian Beers Steckenpferd ist vor allem iOS).
Wo ist Apples diesbzgl. Team der Besten der Besten der Besten, um nicht nur die eigene, sondern darüber hinaus auch noch die der Konkurrenz sicherheitstechnisch unter die Lupe zu nehmen und bei dessen Verbesserung/Abdichtung mitzuhelfen?

Das sage ich doch. Nur bekommen gefundene Apple-Bugs halt immer besondere Aufmerksamkeit – und das weiß auch Google und nutzt das für sich aus.

Irgendwann glauben Smarty-User womöglich, dass Android in der Praxis (also z.B. mit allen Erweiterungen und Modifikationen, die die Hardware-Hersteller noch so dazufriemeln und nicht updaten) wirklich sicherer wäre als iOS. Und dann hätte Google eines seiner Project Zero-Ziele sicherlich erreicht – und das rein mit PR.

Mir wäre halt deutlich wohler, wenn Project Zero nicht allein von Google betrieben würde (die dadurch natürlich deren Arbeit steuern können), sondern unabhängiger wäre, vielleicht sogar finanziert von allen großen Betriebssystem-Herstellern. So, wie jetzt, haben die Bug-Veröffentlichungen in Konkurrenz-Produkten halt immer ein "Gschmäckle".

Pixelmeister:

Sie bekommen deshalb soviel Aufmerksamkeit, nicht nur, weil die Produkte so zahlreich in Verwendung sind (auch von Google selbst, deshalb hat Google ein Eigeninteresse daran, möglichst sichere Apple-Produkte selber zu nutzen, also helfen sie aus purem Eigeninteresse mit, deren Sicherheit hochzuhalten und zu verbessern, genau das Gleiche auch bzgl. anderer Produkte anderer Hersteller, die sie selbst verwenden) weil Apple soviel Luftblasen schlägt und sich so sehr über andere erhebt, sie seien besser und sicherer. Das Gegenteil ist bei Lichte betrachtet aber der Fall. Bei Apple ist viel heiße Luft, und wenn man genauer hinschaut, bricht das ganze Kartenhaus zusammen. Während Apple über Sicherheit schwadroniert, ist Google schon längst tätig. Bzw. Apple kann nur einigermaßen sichere Produkte anbieten, weil u.a. Googles Project Zero (davon vor allem Ian Beer) und andere Sicherheitsexperten (u.a. Stefan Esser, u.a. Patrick Wardle und andere) deren ureigenen Job erledigt und dort regelmäßig gröbste Lücken und Schnitzer findet und sie Apple brav meldet, damit sie sie schließen und uns dann weiter anbieten können.

Zeig' mal weniger auf Google, die im Grunde Apples Job machen, und stelle mal mehr Fragen an Apple! Wo ist Apple bei dem Ganzen? Warum kann Google das, und Apple kann's nicht?

Was sol dieses neidische und missgünstige Herumgeflenne und Herumgeprügele auf dem Boten, der die schlechte Botschaft überbringt? Warum ist Apple nicht besser in dem was sie tun? Warum müssen andere für sie deren Hausaufgaben erledigen? Kann Apple es nicht besser? Oder wollen sie es nicht besser können? Geld genug, um Abhilfe zu schafffen und den eigenen Laden in Ordung zu halten, haben sie.

Es ist doch nicht das erste Mal, dass Apple hier mit heruntergelassenen Hosen dasteht, weil sie einen schlechten Job gemacht haben und andere sie erst mit der Nase draufstoßen und ihnen erst den Weg zeigen mussten.

Q:
Q:

Gerne springt sierkb für Google in die Bresche. Meine Fresse.

PaulMuadDib:

Ehre und Dank, wem Ehre und Dank gebührt. Nur nicht neidisch und missgünstig sein. Oder sind Neid und Missgunst und Häme Tugenden, mit denen man sich im Apple-Fan-Lager gerne schmücken will und das einen dort auszeichnet?
Man muss auch mal anerkennen, wenn jemand besser als man selber bzw. der eigene Favorit ist. Erst recht, wenn man von ihm regelmäßig (und still hinter den Kulissen ohne viel Aufhebens) aus der Scheiße geholfen bekommt, in die man sich selber nicht ohne eigene Unfähigkeit, gepaart mit Großkotzigkeit und Überheblichkeit hineinmanövriert hat.

Ach. Du meinst so wie deine Erfahrungen in Enterprise-Schlangenöllösungen? Nee. Las mal stecken.

Wovon redest Du? Ich habe nix zu tun mit Schlangenöl.
Zudem unterlasse bitte Dein Ad Hominem. Oder weißt Du Dir nicht anders zu helfen mangels sachlicher Argumente, kannst Du nicht anders?
Außerdem bist Du offtopic und unsachlich. Bitte lasse von mir ab. Danke.

Wenn schon Latein, dann richtig: Es heißt "Cui bono" (etwa "Wem zum Vorteil").

MacTaipan
Stimmt. Bitte um Entschuldigung für diesen Fehler. Ebenso fürs fehlende «geben». Ich gab mir zweimal zu wenig Mühe.

😅

BigLebowski
Perfekt getroffen!

Bei Apple kann man sich nicht ganz sicher sein. Bei Android kann man sicher sein, dass es unsicher ist.

Als reiner Nutzer, der hier mit rein theoretischen auch so schlimmen "Lücken" überschüttet wird, die dann aber bei Nachfrage nie genau dargestellt oder klare Vorgehensweisen beschrieben werden, kann hier nur wenig sinnvolle praxisnahe Probleme erkennen, nur das diese Art Themen immer wieder viel heiße Luft produzieren, ohne das im Kern irgendwas griffiges daraus abgeleitet werden könnte.

Generell dazu mal folgende Gedanken.
Sich um die Faktoren der Sicherheit und des Umgangs mit seinen eigenen Daten bewusst zu sein, bzw. zu werden ist erstmal vollkommen unabhängig vom System zu sehen, aber der erste und wesentlich Schritt.
Die Systeme können nämlich noch so sicher sein und doch hilft es rein gar nichts, wenn der Nutzer die Zusammenhänge zwischen der Nutzung von Techniken bei gleichzeitiger willfähriger Weitergabe der eigenen persönlichen Daten, Missachtung der Privatsphäre anderer (WhatsApp, ja Google kann das auch), etc. nicht für sich selber erkennt oder sogar auch bewusst ignoriert!

Nun zum jetzigen Beispiel: Google schmeißt öffentlich in den Raum, dass man über entsprechende Websites die „Infektion“ von iOS reproduzieren konnte – ja, welche Seiten genau und was passiert dann genau wie?

Alle anderen einschlägigen Seiten die ich dazu dann konsumiert habe, multiplizieren diese Aussagen zwar immer schön und schreiben aber immer haarscharf an realen greifbaren Informationen vorbei.
Null konkrete Info, nur dass es Hackern gelungen sei und anderes ominöses Geschreibsel, wie das Android mit jeder Version sicherer wird - ey, wow!
Ja, natürlich wird auch Android mit jeder Version sicherer - andersrum wäre ja wohl auch total bescheuert, aber was ist denn das bitte überhaupt für eine sinnentleerte Aussage? Ich könnte auch sagen in einer Stunde ist es 60 Minuten später als jetzt! Aber alle Seiten und die so genannten Sicherheitsexperten werden nicht müde diese Phrasen zu kolportieren. Häh!?!

Dabei wäre es eben um so wichtiger, dass solche Art Beiträge für eine neutrale Aufklärung und transparente Darstellung von Fakten sowie den jeweiligen realistischen Gefährdungspotenziale darstellen und eben nicht nur mit effekthaschender Phrasendrescherei auf abstrakte Sicherheitslücke für Aufmerksam sorgen wollen!

Dieser Art der Gerüchte-Berichterstattung mit phrasierten Geschwurbel erzeugt eben nur dreierlei Verhalten:
– Infantile „Glaubenskriege“
– Unsicherheit und Angst
– Steigendes Desinteresse, weil für Otto-Normalbediener zu abstrakt.

Jedes dieses Verhalten ist wohl kaum sinnvoll und hilfreich zu nennen. Und dann sind wir nämlich wieder genau da, wo man in unserer Gesellschaft an vielen Punkten angekommen ist: Resignation und Lethargie
„Das machen doch alle!“ / „Was willst Du da denn als einzelner machen?“ / uva.

Was ich von solchen Artikeln daher erwarte, bzw. kritisiere ist eben nicht nur einen #Clickbait zu fabrizieren um die jeweiligen Systemjünger auf den Plan zu rufen, sondern dass man klar dargestellt wie sich denn die angeblich entdeckten „Lücken“ jetzt genau auswirken, bzw. wie man davon konkret betroffen sein könnte.

An der Stelle ist mir auch nicht klar, warum auf Google solche Loblieder gesungen werden. Letztlich sind es doch genau diese Big-Data-Techniken und die immer perfideren Methoden der Datensaugerei die dann auch mit zur Nutzung von Lücken genutzt werden. Massenweise werden Infos abgegriffen, analysiert und wieder ausgespuckt, weiter verkauft, etc. - aber Google hat damit natürlich gar nichts zu tun. Diese Helden des Internets.

Und es macht natürlich total Sinn Leute über die Sicherheit eines System zu fragen, die damit Geld verdienen wollen, dass es nicht sicher ist. Warum ist denn der Preisverflall da? Weil letztlich alle sich aufs iPhone stürzten und mit irgendwelchen theoretischen Angriffszenarien Geld absaugen wollen, weil es halt wesentlich cooler ist ein iPhone zu hacken als ein Android Phone. Und nur weil durch die Masse der Nachfrage die Preise in den Keller gehen, leitet man daraus ab, dass ein System jetzt nicht mehr sicher ist! Ah, jetzt ja.

Wer meint, dass bei Apple nur Hobby-Bastler sitzen die nicht wissen was sie dazu zusammen klicken und Google dagegen als Allwissende Müllhalde stilisiert, als Retter des Internets, der Robin Hood der Netzgemeinde… ja, das kann man machen, aber weder das überbewerten von Google noch das unterbewerten von externen Hackern, ist der eigentlich gewollten Sicherheit dienlich.

Und jetzt rein Subjektiv, wenn man mich jemand fragt, wen ich eher vertrauen würde, Apple oder Google, und von wem ich eher eine Gebäudesteuerung kaufen und betreiben würde, dann wäre meine Entscheidung definitiv nicht Google!
Aber das muss eben jeder für sich selbst entscheiden.

Mein Fazit aus dieser Story, der nächste Artikel zur angeblichen Unsicherheit von iOS wird übersprungen - erst Recht, wenn es von den Sicherheitsexperten eines icht uneigennützigen Konkurrenten kommt… Google ist bestimmt nicht dadurch groß geworden, weil man es allen Recht machen wollte… Nicht umsonst ist doch der Google-Chef auch aus dem Aufsichtsrat bei Apple geflogen, als klar wurde, dass sie auch Smartphones bauen wollten! Also Google macht definitiv nichts ohne Strategie!
Und eins ist klar, es ist Googel ein großer Dorn im Auge, dass sie bisher mit ihren Smartphones nicht im Enterprise-Business vertreten sind. Und auch mit diesem Aspekt muss man sich solche Melkdungen noch mal durch den Kopf gehen lassen! Ein Schelm wer böses denkt!

Appletiser
Volle Zustimmung! Danke für den lesenswerten Beitrag.