Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Die aktuell im Zusammenhang mit Apples AirTags entdeckte Schwachstelle zeigt mir einmal mehr, dass ich nicht als Hacker tauge. Auf eine solche Idee, wie sie aktuell von den Sicherheitsexperten von KrebsOnSecurity präsentiert wird, wäre ich nämlich im Leben nicht gekommen. Für den Fall, dass man einen AirTag verliert und dieser von einem ehrlichen Mitmenschen gefunden wird, hat dieser die Möglichkeit, den AirTag mit seinem iPhone zu scannen, woraufhin er auf eine speziell generierte URL geleitet wird, auf der der Besitzer ihm Kontaktinformationen wie eine Telefonnummer oder eine E-Mail Adresse bereitstellen kann. Diese Webseite ist der Einfachheit halber nicht mit irgendwelchen Zugangsdaten geschützt.

Laut KrebsOnSecurity kann ein Angreifer allerdings Schadcode in die erzeugte Webseite einschleusen, so dass diese sich quasi als gefakte iCloud-Webseite präsentiert, auf der der Finder dann dazu verleitet sein könnte, seine Zugangsdaten einzugeben, die dann wiederum von dem Angreifer ausgelesen werden können. Im Prinzip also eine Art Fishing-Angriff. Entdeckt hat diese Möglichkeit der Sicherheitsforscher Bobby Raunch, der Apple auch bereits am 20. Juni auf das Problem aufmerksam gemacht hat. In der Vergangenheit meldete sich das Unternehmen dann bei Rauch und erklärte, dass man das Problem mit einem kommenden Softwareupdate beheben werde. In der Zwischenzeit wurde der Sicherheitsforscher gebeten, die entdeckte Lücke nicht öffentlich zu machen.

Nachdem Rauch bei Apple nachfragte, ob ihm durch die Meldung über das "Bug Bounty Program" eine Belohnung zustehe, hörte er bislang nichts weiter aus Cupertino, weswegen er die Lücke nun doch öffentlich machte:

"I told them, 'I'm willing to work with you if you can provide some details of when you plan on remediating this, and whether there would be any recognition or bug bounty payout. Their response was basically, 'We'd appreciate it if you didn't leak this.'"

Damit ist die Lücke der nächste Fall von öffentlich gewordenen Sicherheitsproblemen in Apple-Systemen in den vergangenen Wochen. In der Szene regt sich zunehmend Unmut gegenüber Apple, der sich vor allem an der mangelhaften Kommunikation und der langsamen Reaktion im Rahmen des "Bug Bounty Programs" festmacht.