Schon krass, dass das nicht vorher aufgefallen ist.

Sofort reagiert? Nein, nicht sofort. 10 Tage, nachdem man es ihnen mitgeteilt hat, ist zu lesen. Und nachdem es sich inzwischen rumgesprochen hat und Apple nun schlechte Presse/PR bereitet.

Und das Ganze bricht über Apple herein und erreicht eine breitere Öffentlichkeit ausgerechnet am:

Wikipedia (de): Europäischen Datenschutztag
Wikipedia (en): Data Privacy Day
Europarat: 28. Januar - Datenschutztag

Shit happens. Bzw. "When the shit hits the fan…"

Schätze jede Software ab einem gewissen Komplexitätsgrad steckt voll mit solch unentdeckten Möglichkeiten.

Absolut.

Und immerhin bin ich mir bei Apple einigermaßen sicher, daß sie das nicht absichtlich eingebaut haben.

Aber peinlich ist es allemal, und die Reaktionszeit war zu lang. Daran müssen sie 2019 immer noch arbeiten.

Also sorry aber das ist schon ziemlich relativierend. Gut, der Fehler ist schlimm. Die Reaktion von Apple wie so oft nicht korrekt (immerhin reagierte man erst nachdem es Public wurde und nicht bereits nachdem man von dem Fehler wusste).

Aber eine Arbeit von weniger als 2 Sekunden als "umständliche Methode" zu beschreiben ist doch schon "etwas" übertrieben. Ist es auch "umständlich" eine Gruppen-iMessage zu verschicken? Ist immerhin genau so viel Arbeit...

Apples QA schläft bzw. ist schlecht. Und Apple sitzt sowas gerne mal aus, reagiert oft erst, wenn's über ihnen zusammenbricht bzw. sie per Öffentlichmachung und breiter Berichterstattung dazu genötigt werden.

Wenn ich mir diverse Äußerungen der letzten Wochen von mit der Materie befassten macOS/iOS-Security-Leuten vergegenwärtige, wundert jene dieser FaceTime-Bug keineswegs, in iOS und macOS schlummert deren Aussagen nach noch so Manches, von dem sie wissen und von dem Apple durch sie und andere weiß, das aber noch nicht oder nur teilweise gefixt ist. iMessage gar soll z.B. angeblich ein einziges wandelndes Sicherheitsrisiko auch fürs System sein (grad' erst wurde da wieder was Gravierendes entdeckt und ist noch nicht gefixt), so voller Löcher sei es…

Daran lässt sich vermutlich ablesen, dass Apple nicht so wirklich an der eigenen Reaktionszeit arbeitet. Immer in Relation zum Kostenaufwand und in Relation zum öffentlichen Druck.
Einen nachweisbaren Fehler als Einzelperson bei Apple melden löste auch 2019 noch keinerlei Reaktion aus.

Kann ich mir auch nicht vorstellen, sowas passiert halt (Wechselwirkungen etc.). Ich könnte mir aber gut vorstellen dass die aktuelle amerikanische Regierung es sofort als Steigbügelhalter nutzen würde wäre so ein SoftwareFehler Huawei passiert.
Krass. Wenn wir uns anschauen was für ein Spielkram gerade in iOS in iMessage verbaut wurde klingt das nicht unvorstellbar.

Fakt ist doch, dass der beste Schutz vor einer solchen Sicherheitslücke immer noch der ist, sie nicht publik zu machen. Ich bin mir sehr sicher, dass Apple sofort nach Kenntnis des Bugs damit begonnen hat, diesen zu fixen. Und je nach Komplexiität des Codes dauert das nun mal seine Zeit, um eben nicht noch mehr Fehler einzubauen ...
Würde sich "Ars Technica" wirklich um Datenschutz scheren, hätten sie die Lücke nicht publik gemacht sondern es bei der Meldung an Apple belassen. Aber damit lässt sich nunmal kein Geld verdienen ...

So, und jetzt her mit den Downvotes!

Du meinst Facetime wird sicherer wenn die Leute nicht wissen dass es unsicher ist und es somit auch nicht abschalten?

ApfelHandy4:

"Security through obscurity"

Wikipedia (de) Security through obscurity
Wikipedia (en): Security through obscurity

funktioniert nicht, funktioniert nachgewiesenermaßen nicht, ist genau das Gegenteil von sicher.

Und: Ars Technica sind nicht die Ersten gewesen, die Apple auf den Bug aufmerksam gemacht haben (steht sogar in deren Artikel, dass Apple schon vorher davon wusste, bevor Ars Technica mit ihnen das Gespräch aufnahm).

Fakt ist, daß diese Aussage in dieser absoluten Form hanebüchener Blödsinn ist. Aber ich glaube, das meinst Du auch gar nicht. Da fehlt ein "sofort" in Deinem Satz.

Security by obscurity hat noch nie funktioniert und führt ausschließlich zum Gegenteil: Weniger Sicherheit. Eine Lücke, die ein externer Tester findet, kann auch ein anderer finden, und ob der sie dann nicht für sinistre Zwecke ausnutzt bzw. ggf. meistbietend verkauft, weiß man nicht.

Das einzige, was dagegen hilft, ist die Lücke dem Hersteller mitzuteilen und nach einer angemessenen Frist (meist nimmt man hier 30 Tage an, aber ich halte das für abhängig von der jeweiligen Lücke) zu veröffentlichen. Im vorliegenden Fall kann man darüber streiten, ob das "responsible disclosure" war oder nicht - ich vermute anhand der Nachrichtenlage eher, daß der oben beschriebene Fall (A meldet Fehler, B findet ihn auch und veröffentlicht ihn) eingetreten ist.
Schwer zu sagen, aber ich halte es für denkbar. Oder anders gesagt, ich halte es für höchst wünschenswert.
Siehe oben: Ob das noch responsible disclosure war oder willkommener Clickbait, darüber kann man geteilter Meinung sein. Ich tendiere auch eher zu "Clickbait". Es ist ja nicht so, daß die Fehlermeldung Monate zurückläge.

Nein, aber wenn die Lücke für die Zeit ihres Bestehens bis zum Fix nur einem kleinen Kreis bekannt ist, dann ist die Wahrscheinlichkeit um ein Vielfaches geringer, dass sie auch (böswillig) genutzt wird.

Also du meinst man vertuscht die Lücke und hofft halt das nichts passiert bis man eine Lösung gefunden hat? Tolles System.

Dachte ich mir doch, daß Du das so meinst

Unbestritten dürfte aber auch sein, daß manche Firmen erst dann wirklich anfangen, etwas in Ordnung zu bringen, wenn die Sch... den Ventilator erreicht hat. Nach einer gewissen Zeit muß man den Druck halt auf dem Wege der Veröffentlichung erhöhen - gegebenenfalls natürlich so, daß man nicht gleich die Rezepte mitliefert, wie der Fehler auszunutzen sei.

Ich denke, er meint "responsible disclosure".

Jetzt ist die Lücke bekannt und jeder Depp versucht diese zu testen bzw. zu nutzen...
Bevor die Lücke bekannt wurde, haben bzw. konnten diese nur sehr wenige nutzen...

Sehe ich genau so. Aber Apple traue ich das eben nicht zu. Mich würde interessieren, ob Google bei Bekanntwerden eines ähnlichen Fehlers direkt seine "Duo/Hangouts"-Server vom Netz genommen hätte.

Ich bin auch bei dir, was den Druck durch Veröffentlichung angeht. Nur halte ich es für unvernünftig bei einer solch komplexen Sache bereits nach wenigen Tagen die Öffentlichkeit mit ins Boot zu nehmen. Aber hätte Apple das Problem morgen mit iOS 12.1.4 gefixt und auf den Fehler in der Updatebeschreibung hingewiesen, wäre Ars Technica diese "Sensationsmeldung" wohl flöten gegangen. Daher riecht es für mich nach Clickbait ...

Bei Apple wusste man bereits von der Lücke. Die Veröffentlichung hat die Verantwortlichen endlich unter Zugzwang gesetzt - mit Erfolg.

Wo ist eigentlich noch der Unterschied zwischen einem Apple Nutzer und einem Windows Nutzer? Diskutieren darf man nicht mehr, es gleicht fast dem was man bei VW und deren Anhängern beim Diesel bemerkt. Man nimmt alles nur noch hin.
Erst am Sonntag war wieder so ein Thema bei Mac-TV, da werden eine handvoll positive Apple Kommentare vorgelesen und man bemerkt, dass der einzig kritische Beitrag einfach weggeklickt und somit nicht beachtet wurde. Da sind durchaus Apple Anwender die niemals Probleme hatten, was man ja auch erst mal sehr gut findet. Aber wenn Apple selbst zugibt das z.B. iPad's verbogen ab Werk ausgeliefert werden, ist das neue verbogene Apple quasi das gerade Apple und somit zu generell zu ignorieren, was dann von solchen AppeFanBoys massiv verteidigt wird ...
Wir werden sicherlich niemals 100% perfekte Produkte egal welches Herstellers haben, aber wenn keine Kritik oder Verbesserungsvorschläge mehr möglich sind oder gesagt werden dürfen, dann brauchen wir auch keine Foren mehr.
Einige der Kritiker hier im Forum sind nicht gegen Apple, sondern sie möchten einfach, dass Apple gut bleibt!

Ein 14-Jähriger Junge fand offenbar den Bug bzw. stolperte vor über 10 Tagen darüber, der Vater meldete es brav Apple und dann etwas später, nachdem (offenbar bis heute) keinerlei Reaktion von Apple kam , wandte er sich hilfesuchend an die Medien (CNBC, CNN, Fox News 9To5Mac,...), und so verbreitete sich die Info dann in eine breitere Öffentlichkeit:
Q: ff.


iOS-Security-Experte Stefan Esser heute dazu:
Q:

Und: wenn ein 14-Jähriger über sowas schon stolpern und es zufällig finden kann, dann können es böse Buben und Geheimdienste erst recht und wissen erst recht und schon längst davon und nutzen es schon ggf. längst aus (und halten darüber natürlich den Mund) und nicht erst seit jetzt und nicht erst seit dieser Findung und Berichterstattung.

Schätze das ist der Unterschied ob ein Fan halt eher rational oder emotional an Apple gekoppelt ist.

Als Einschätzung, keine Bewertung.

Mich nervt der Artikel hier.

„Mit einer umständlichen Methode können…“ — so geht es schon los. Genau dafür haben wir Computer, dass sie uns „umständliche Methoden“ abnehmen, und eben deswegen ist das NICHT zwingend „umständlich“. Deswegen gibt es One-Click-Exploits, mit denen der Angreifer nur ein Script startet, dann Kaffee trinken geht und nach 10 Minuten wurde die „umständliche Methode“ auf 5000 Geräten erfolgreich angewendet. Sucht mal im Netz nach Filmen von chinesischen Klickfarmen, in denen sie sich gar nicht die Mühe des Programmierens machen — sondern einfach 1000e von echten Endgeräten mit Gummifingern gestubst werden.

So geht's dann weiter:
„schließlich lässt sich die Lücke nur mit einer schon fast abstrusen Befehlsfolge ausnutzen“
Ja, und? Seit wann hängt die Bewertung einer Attacke davon ab, ob der Angriff „abstrus“ ist? Angriffe sind IMMER abstrus, oder wie soll ein Angriff sonst aussehen? var x = new iPhone; iPhoneown(); ??? Natürlich nicht, natürlich sind das eher Dinge wie „Ich tippe 16 Millionen Ypsilons in ein Ja/Nein-Feld“.

„Kommt tatsächlich in einigen Tagen das Update, legt sich die Empörung genauso schnell wie sie aufbrandete.“
Na suuuuper, lasst uns die Polizei zumachen. Meine Aufregung über den Einbruch in meine Wohnung hat sich nämlich irgendwann gelegt. Alles Topi!

Damit wir uns nicht falsch verstehen: Der Spruch von Ars Technica, Apple sei doch angeblich sonst so für Datenschutz ist dämlich. Hier ist ein Bug durch die QA gerasselt, auf den schlicht keiner gekommen ist, und das findet man gern mal lustig, weil das ja so einfach ist. Wenn das so einfach ist, dann erklärt mal, warum bisher keiner drauf gekommen ist? Eben. Das Ei des Kolumbus ist immer einfach, NACHDEM jemand drauf gekommen ist. Hier ist ein Entwickler nicht auf die Idee gekommen, dass es in einem 2-Personen-Gespräch 3 Teilnehmer geben könnte, weil vorher ein anderer Entwickler ermöglicht hat, dass man über Umwege mit sich selbst Gruppengespräche führt. Wer will da Schuld zuweisen? Shit happens.

Trotzdem sollte eine News-Site sich nicht provozieren lassen, nur weil eine andere Site dummes Zeug schreibt. Und schon gar nicht zur Verteidigung aufgerufen sein, nur weil man selbst das betroffene Gerät besitzt. Das ist schlicht nicht nötig. Es handelt sich um keine „Apple-Peinlichkeit“ — diese Sorte Fehler steckt, wie schon jemand zu Recht schrieb, in unglaublicher Menge in den meisten Anwendungen. Sag ich jetzt mal als Entwickler.

heise (29.01.2019): FaceTime als Wanze – Apple schaltet Gruppenfunktion des VoIP-Dienstes ab
Ein Bug in Apples Kommunikationsdienst ermöglicht, das Mikrofon von iPhone und Mac aus der Ferne zu aktivieren. Apple ergreift Notfallmaßnahmen.

Warum Apple bei solchen Fehlern, aber auch bei serienweise auftretenden Hardwarefehlern immer erst bei aufkommendem medialen Druck reagiert ist mir schleierhaft.

Strategie wird das wohl hoffentlich nicht sein.

Darauf muss man ja erst kommen dass wen der eine nicht abnimmt man sich selbst zur Gruppe hinzufügt