Das fünfte große Upgrade für i(Pad)OS 17 bringt einige wenige neue Funktionen. Mit an Bord sind jedoch unzählige Fehlerbehebungen, insbesondere werden wieder einige Sicherheitslücken geschlossen. Viele davon meldeten Entwickler, Administratoren und Forscher; Apple erwähnt sie in seinen Security Notes auf Wunsch namentlich, zusammen mit einer allgemeinen Beschreibung des Fehlers. Insgesamt 15 Fehler umfasst die bunte Liste, die sich von Screenshots über Notizen bis hin zum Kernel und der WebKit-Engine erstreckt. Apple ist nicht bekannt, dass die Schwachstellen aktiv von Schadsoftware ausgenutzt werden. Doch kann sich das bald ändern – mehrere Sicherheitsforscher wollen ihre Forschungsergebnisse schon sehr bald offenlegen.


Die häufigste Erwähnung fand Mickey Jin, ein unabhängiger Forscher, der seit mindestens 2020 Sicherheitslücken in Apple-Systemen aufspürt und meldet. Drei Bugs haben ihn als meldende Person vermerkt – sie verbargen sich in AppleMobileFileIntegrity, RemoteViewServices sowie Sync Services. Die am einfachsten zugängliche Schwachstelle wies die Screenshot-Funktion auf – anscheinend war es unter bestimmten Bedingungen möglich, Informationen vom Sperrbildschirm als Bildschirmfoto zu versenden. Das Sicherheits-Team Mysk entdeckte eine Lücke im EU-exklusiven MarketPlaceKit, das zum Nachverfolgen des Surfverhaltens eines Nutzers missbraucht werden konnte.

"Wo ist“ gab aktuellen Aufenthaltsort aus
Eine ernsthafte Lücke entdeckte Alexander Heinrich vom Secure Mobile Networking Lab (SEEMOO). So war es unter bestimmten Bedingungen in iOS 17.4 möglich, Apples Lokalisierungsnetzwerk „Wo ist?“ (auf Englisch „Find My“) aktuelle Ortsdaten zu entlocken – ohne die entsprechende Erlaubnis des Anwenders. Die unter CVE-2024-27839 geführte Sicherheitslücke schloss Apple, indem die sensible Information an einen besser gesicherten Ort verlagert wurde. Heinrich hat angekündigt, dass er in Kürze Beispiel-Code veröffentlicht, der die Auswirkungen der Sicherheitslücke demonstriert.

Lobende Erwähnung, aber keine Bug Bounty
Nicht alle, die eine Sicherheitsmeldung eingereicht haben, sind mit der bloßen Erwähnung in den Security Notes zufrieden. Meysam Firouzi wird beispielsweise die Entdeckung einer Schwachstelle in AppleAVD zugeschrieben, die einer App das Ausführen jedweden Codes mit Kernelrechten ermöglicht. Auch er will demnächst Beispiel-Code veröffentlichen. Auf Twitter teilte er Apples Ablehnung auf seinen Antrag auf Finderlohn für seine Sicherheitslücke (Bug Bounty). Sein Kommentar: „Komm schon, Apple, iOS-Kernel-Verwundbarkeit ist keine Bug Bounty wert? Was wäre es denn dann?“