„Viel zu späte Reaktion auf Sicherheitslücken“ – Apple reagiert auf Kritik und entschuldigt sich bei Sicherheitsforscher
Es ist naheliegend, dass Apple ein reges Interesse daran haben sollte, über Sicherheitslücken informiert zu werden, um diese schnellstmöglich zu beheben: Wird eine Schwachstelle bekannt, kommen mehr und mehr Nutzer zu Schaden, was wiederum kein gutes Licht auf das Unternehmen wirft. Um die Anreize für das Melden entsprechender Sicherheitslücken zu erhöhen, hat Apple das sogenannte „Bug-Bounty-Programm“ ins Leben gerufen. Die Kritik daran wird aber immer lauter: Cupertino reagiere viel zu spät auf Meldungen und zahle Prämien entweder gar nicht oder in zu geringer Höhe aus. Nun machen weitere Experten ihren Unmut Luft.
Apple reagiert zu spät auf MeldungenDer Sicherheitsforscher Denis Tokarev alias illusionofchaos teilt seine Erfahrungen mit Apples Bug-Bounty-Programm in seinem
Blog. Tokarev habe dem Konzern im Zeitraum vom 10. März bis 4. Mai 2021 vier Zero-Day-Exploits gemeldet. Allzu viel sei in dieser Sache jedoch nicht passiert: Apple erteile Tokarev die Auskunft, die Fehler mit einem Update beheben zu wollen. Eine der Lücken wurde tatsächlich mit iOS 14.7 geschlossen, die drei anderen Schwachstellen finden sich nach wie vor auch in der aktuellen Version. Unbedeutend sind diese nicht: So ist es unter anderem jeder aus dem App Store geladenen Anwendung möglich, bestimmte Daten wie die E-Mail-Adresse der Apple ID und den vollständigen Namen des Anwenders abzugreifen.
Sicherheitsexpertin bemängelt Apples KommunikationTokarev entschied sich dazu, Apple ein letztes Mal mit seinen Erkenntnissen zu konfrontieren – und drohte an, die Sicherheitslücken im Falle einer ausbleibenden Reaktion publik zu machen. Cupertino ließ sich zu lange Zeit: Wie
Motherbord berichtet, erhielt der Sicherheitsforscher erst nach der Veröffentlichung der Bugs eine Antwort des Unternehmens. Man habe den Blog-Beitrag gesehen und entschuldige sich für die Verzögerung bei der Beantwortung. Apple untersuche diese Probleme noch, bedanke sich aber für die Zeit, die sich Tokarev genommen hat. Motherboard lässt auch die Cybersicherheitsexpertin Katie Moussouris zu Wort kommen: Die Art und Weise, wie Apple mit dieser Sache umgeht, sei nicht normal und sollte auch nicht als normal angesehen werden. Das Unternehmen habe nach wie vor Schwierigkeiten bei der Kommunikation mit Sicherheitsforschern, so Moussouris.