Apple schaltet FaceTime-Gruppenfunktion ab

[SirVikon]

Eigentlich ein Glück für Apple, dass es "nur" iOS 12.1 betrifft und die "missglückte Codezeile" offenbar nicht abwärtskompatibel bis iOS x.x ist.

Das hat einfach damit zu tun, dass es Gruppen-FaceTime nun mal erst seit iOS 12.1.x gibt.

 

[Rul]

Das hat einfach damit zu tun, dass es Gruppen-FaceTime nun mal erst seit iOS 12.1.x gibt.

Ja, das wollte ich eigentlich damit sagen. Glück gehabt. Hab mich vielleicht ein bisschen untalentiert ausgedrückt.

 

[Hausbesetzer]

So etwas kann bei komplexer Software immer passieren -

Nein. Sorry. Nein.
Es gibt Prozesse die absolut SICHERSTELLEN, dass so Sachen nicht passieren.
Wenn das kleine Buden hinbekommen, warum bekommt Apple das nicht hin?

Dieser Bug für sich allein ist einfach nur superpeinlich und sollte eigentlich schon unter Strafe gestellt werden.
Aber im Kontext zu dem, was Apple die letzten Jahre abliefert, ist das leider einfach wirklich "nur" peinlich - weil, egal was Apple macht, schlimmer kann es einfach derzeit nicht mehr werden.

 

[Killerkaninchen]

weil, egal was Apple macht, schlimmer kann es einfach derzeit nicht mehr werden

Du wirst dich wundern ...

 

[Rul]

..., schlimmer kann es einfach derzeit nicht mehr werden.

Gib ihnen eine gute Woche. (Achtung, Wortwitz.)

Aber bezüglich deines Posts möchte ich noch hinzufügen, das liegt mE nur an Apple selbst und zwar

• an den vielen unterschiedlichen iOS-Versionen bezüglich der iOS-Kategorien;
• an den vielen unterschiedlichen Freigaben bzw. Features der angebotenen iOS-Geräte;
• an der Größe Apples;
• und am selbst auferlegten jährlichen Majorrelease.

 

[lemonstre]

Wenn das kleine Buden hinbekommen, warum bekommt Apple das nicht hin?

In großen Organisationen funktionieren ja oft die einfachsten Dinge nicht mehr. Das Apple allerdings 6 Tage gebracht hat auf eine so schwerwiegende Lücke überhaupt zu reagieren und das erst auf medialen Druck, ist erschreckend!

 

[Sp0tlight]

Wenn das kleine Buden hinbekommen, warum bekommt Apple das nicht hin?

Gerade heute geisterte durch die Medien, dass ein Exploit aufgetaucht ist, welcher es ermöglicht in sämtlichen Exchange Versionen von 2013 - 2019 über eine Escaped-Privillege-Attacke Zugriff auf andere Benutzerkonten zu bekommen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) stufte das Risiko, auf einer Skala von 1-5, als 5 - also sehr hoch, ein. Die eigentliche Sicherheitslücke ist schon seit mindestens dem 13. November 2018 bei Microsoft bekannt. (und ja, der Exploit ist eine Kombination aus mehreren Lücken..)

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Heißt das nun, dass die QM-Prozesse bei Microsoft nicht ausgereift sind, dass sie so eine Sicherheitslücke überhaupt zugelassen haben oder vielleicht, dass eine kleine Bude die Sicherheitslücke sofort behoben hätte und nicht ein halbes Jahr bis zum aufkommen eines Exploits gewartet hätte.

Möglicherweise bedeutet dies aber doch einfach nur, dass große Software heutzutage so komplex ist, dass egal, ob Apple, ob Microsoft oder Google etwas übersehen können und die Schließung von Lücken in Form einer Kombination von mehreren Angriffsvektoren, durchaus auch der internen Priorisierung von Entwicklungsressourcen zum Opfer fallen kann - und dass nicht unbedingt im bewussten gegenteiligen Kundeninteresse.

Gleichwohl ich so einen Sicherheitsvorfall aus Kundensicht (also auch meiner) nicht für gut heiße (das BSI stufte das Risiko mit einer 2 / 5 ein), denke ich trotzdem, dass die Lücke schnellstmöglich behoben wird und man nicht alles gleich verteufeln sollte - auch wenn Cupertino oder Redmond dran steht.

 

[Dextera]

 

[Hausbesetzer]

Gleichwohl ich so einen Sicherheitsvorfall aus Kundensicht (also auch meiner) nicht für gut heiße (das BSI stufte das Risiko mit einer 2 / 5 ein), denke ich trotzdem, dass die Lücke schnellstmöglich behoben wird und man nicht alles gleich verteufeln sollte - auch wenn Cupertino oder Redmond dran steht.

Ähm es war möglich von jedem ohne großen Aufwand jeden iOS Geräte Besitzer über Facetime per Video und Audio jederzeit abzuhören.... hmmm...... ja sooooooo schlimm ist das nicht

 

[Sp0tlight]

Ähm es war möglich von jedem ohne großen Aufwand jeden iOS Geräte Besitzer über Facetime per Video und Audio jederzeit abzuhören.... hmmm...... ja sooooooo schlimm ist das nicht

Und trotzdem vergibt das BSI nur die Risikostufe 2 / 5 - also gering. In der IT-Security ist es von außen her oft schwierig die Beweggründe für eine Risikoeinschätzung nachzuvollziehen und man kommt selber zu einer anderen Einschätzung, gerade wenn es um Angriffe geht, welche die direkte Privatsphäre anvisieren (was ich nochmal ausdrücklich für nicht gut befinde! und losgelöst von den weiteren Faktoren als schwerwiegender Fehler erachte, gerade aus Kundenperspektive). Trotzdem stützen sich solche Risikoeinschätzungen auf eine objektive Auswertung aller zur Verfügung stehenden Fakten, von denen wir nicht unbedingt alle ohne Fachmedien-Zugriff erfahren. Grob Gesagt eine Kombination von Eintritts- und Schadenspotenzial, wobei z. B. auch berücksichtigt wird, wie lange eine solche Lücke schon in den Untergrundforen kursiert, etc.

https://www.bsi-fuer-buerger.de/BSI...shinweise/Risikostufen/Risikostufen_node.html

Viel gravierender war vor einer Wochen z. B. die Kombination von mehreren Angriffsvektoren (auch von nicht-Apple-Software) unter Windows im Zusammenhang mit iTunes, welche es einem Angreifer ermöglichten sich Administratoren-Rechte einzuräumen. Dieser Angriffsvektor hat auch folgerichtig eine 4 / 5 bekommen, wurde aber in den Medien so gut wie keine Beachtung geschenkt, da es sich um deutlich komplexere Zusammenhänge handelt, als der plakative Ausspruch, dass "unser iPhone uns ausspionieren kann".

Worauf ich hinaus will ist, dass es durch die unzähligen Medien unterstützt schnell zu einer Vorverurteilung von komplexen Zusammenhängen (gleichwohl ob IT oder Politik), welche auf einfache und greifbare Informationen herunter gebrochen werden, kommen kann und jeder aus seinem Blickwinkel heraus seine ganz persönliche Wahrheit findet. In den Fachforen lästern einige aus der Linux-Gemeinde z. B. über die Microsoft-Lücke, dass Ihnen sowas nie passiert wäre, wobei im gleichen Atemzug einige schwerwiegende Fehler im Linux-Kernel gefunden werden. Und so dreht sich das Rad immer weiter, was nicht unbedingt zu einer zielführenden Diskussion und der Lösung von Problemen führt.

 

[Hausbesetzer]

Viel gravierender war vor einer Wochen z. B. die Kombination von mehreren Angriffsvektoren (auch von nicht-Apple-Software) unter Windows im Zusammenhang mit iTunes, welche es einem Angreifer ermöglichten sich Administratoren-Rechte einzuräumen. Dieser Angriffsvektor hat auch folgerichtig eine 4 / 5 bekommen, wurde aber in den Medien so gut wie keine Beachtung geschenkt, da es sich um deutlich komplexere Zusammenhänge handelt, als der plakative Ausspruch, dass "unser iPhone uns ausspionieren kann".

Ein solcher Fehler, der von einem User ohne Vorkenntnisse ausgenutzt werden kann, sollte 5 bekommen. Objektiv hin oder her. Das BSI ist einfach nicht der richtige Indikator dafür, ob eine Sicherheitslücke kritisch oder nicht ist.
(Nebenbei: Das BSI sind die, die ihre Sicherheitszertifikate erst NACH Ablauf (und nach entsprechendem Feedback) ersetzen)

 

[JeZe]

Je mehr ich darüber nachdenke, desto fassungsloser werde ich.
Wie ist es möglich dass sich ein Mikrofon einschaltet wenn ich das Gespräch nicht angenommen habe?!

Ich denke das sollte unabhängig von diesem Bug die eigentliche Message an die User sein: das Annehmen oder Ablehnen eines Gespräches ist vom Prinzip her nichts weiter als eine Absichtserklärung des Users an die Software. Rein technisch ist sein zutun nicht für das Zustandekommen der Verbindung notwendig.

 

[JeZe]

Ein solcher Fehler, der von einem User ohne Vorkenntnisse ausgenutzt werden kann, sollte 5 bekommen. Objektiv hin oder her.

Und bewertest Du dann eine Sicherheitslücke, mit der ein User ohne Vorkenntnisse eine Vielzahl an Usern angreifen kann und nicht nur einen User gleichzeitig? Wie bewertest Du Probleme, die nicht zeitnah gefixt werden können?

„2“ bedeutet nicht, dass es kein Problem gäbe, aber in letzter Instanz gibt es halt auch noch schlimmere Dinge, die im Bedarfsfall auch irgendwie bewertet werden müssen.

 

[Sp0tlight]

Ein solcher Fehler, der von einem User ohne Vorkenntnisse ausgenutzt werden kann, sollte 5 bekommen. Objektiv hin oder her. Das BSI ist einfach nicht der richtige Indikator dafür, ob eine Sicherheitslücke kritisch oder nicht ist.
(Nebenbei: Das BSI sind die, die ihre Sicherheitszertifikate erst NACH Ablauf (und nach entsprechendem Feedback) ersetzen)

Ich kann zustimmen, dass das BSI in seiner Gesamtheit - wie jede große Organisation, auch nicht immer von Fehlentscheidungen / Fehlmanagement ausgelassen ist. Trotzdem sollte man das BSI im Gesamten nicht mit dem BSI-Cert bzw. genauer dem CERT-BUND und dem nationalen IT-Lagezentrum gleichsetzen. Letztere machen eine sehr gute Arbeit und von dieser Gruppe kam auch die Einschätzung bezüglich des Risikofaktors.

Alternativ kann man auch die VulDB heranziehen, welche über die Bewertung nach CVSSv3, einen international eingesetzten Standard benutzen.

Hier sind wir mit einer 4.9 / 10 (~0,49) nicht ganz so weit von einer 2 / 5 (~0.4) entfernt, womit diese spezifische Einschätzung des BSI sicherlich auch international nicht auf dem falschen Dampfer fährt.

https://vuldb.com/?id.130307

 

[Hausbesetzer]

All diesen Einschätzungen zum Trotz war das doch eine der kritischsten Sicherheitslücken bei Apple in letzter Zeit (mal von dem root hat kein Passwort Bug) abgesehen.

 

[Sp0tlight]

All diesen Einschätzungen zum Trotz war das doch eine der kritischsten Sicherheitslücken bei Apple in letzter Zeit (mal von dem root hat kein Passwort Bug) abgesehen.

Nein, nur die mit der höchsten Medienwirkung. Gibt da noch ganz andere Kaliber an Sicherheitslücken, die z. B. Apple in den letzten Wochen betroffen haben / noch betreffen. Dies gilt aber durch die Bank durch für alle Großunternehmen.



https://www.cert-bund.de/overview/AdvisoryShort

Wobei wir hier wieder zu dem Ausgangspunkt meiner Nachricht ankommen, dass Sicherheitslücken eher die Regel bei allen großen Softwareprojekten sind und man nicht, nur weil in den Medien wieder von einer leicht greifbaren Lücke geredet wird, auf etwaige QM-Prozesse oder das absichtliche nicht-beachten von Sicherheitsfeatures bei einem Großkonzern schließen sollten. Tritt die Sicherheitslücke aufgrund vorsätzlicher oder fahrlässiger Entscheidungen auf, ist das ganze nochmal eine ganz andere Hausnummer (wobei dies hier nicht der Fall zu sein scheint).

Ich kann nur nochmal wiederholen, dass ich so eine Lücke aus Kundenseite absolut verwerflich finde. Apple ist aber zumindest in dieser Hinsicht gut aufgestellt und reagiert sehr schnell mit Sofort-Maßnahmen und zeitnahen Updates auf Sicherheitslücken.

 

[Olivetti]

Nein, nur die mit der höchsten Medienwirkung.

eben, das ist ein bedrohungslevel, welches der übliche "medienexperte" halt noch verstehen kann.

Apple ist aber zumindest in dieser Hinsicht gut aufgestellt und reagiert sehr schnell

dem würde ich widersprechen. ihre prozesse zu verbessern wollten sie ja längst angehen.

 

[Hausbesetzer]

Nein, nur die mit der höchsten Medienwirkung. Gibt da noch ganz andere Kaliber an Sicherheitslücken, die z. B. Apple in den letzten Wochen betroffen haben / noch betreffen. Dies gilt aber durch die Bank durch für alle Großunternehmen.

Ein Fehler, der von Hans Musterman im Bus ausgenutzt werden kann sehe ich kritischer als einer, für den man spezielle Kentnisse haben muss und oft nur unter Laborbedingungen funktioniert

 

[Sp0tlight]

dem würde ich widersprechen. ihre prozesse zu verbessern wollten sie ja längst angehen.

Da fehlte ein "relativ zu anderen und in ähnlichen Technologiebereichen operierenden Herstellern". Aber insgesamt gesehen geb ich dir recht, wird das Thema noch zu stiefmütterlich behandelt. Könnte allerdings auch nur die außen-Wirkung sein. Generell hab ich das Gefühlt, dass sie sich im Vergleich zu den Vorjahren schon etwas gebessert haben. Zumindest rennen jetzt nicht mehr alle Sicherheitsforscher direkt zu GrayShift oder Azimuth (jetzt ja unter L3T), sondern sind teilweise in Apples Bounty-Programm bzw. im Austausch mit Apple und sie arbeiten mehr CVEs ab. iOS 11.4 war ja so ein Kandidat, wo direkt ne ganze Liste an Fehlern behoben wurden. Luft nach oben im Prozess ist aber noch deutlich.

https://support.apple.com/en-us/HT208848

Ein Fehler, der von Hans Musterman im Bus ausgenutzt werden kann sehe ich kritischer als einer, für den man spezielle Kentnisse haben muss und oft nur unter Laborbedingungen funktioniert

Ich hab oben ja nen Link gepostet, wie z. B. die Einschätzung zum vom BSI genutzten DAF (Deutsche Advisory Format) herkommt. Das Ganze ist komplexer, als, dass man es in einigen Forenbeiträgen erklären könnte. Generell spielt in eine solche Bewertung hinein, ob DAF (einfache Bewertungsgrundlage) oder international CVSSv3 (komplexe Bewertungsgrundlage), auch hinein, wie hoch der Aufwand ist, um eine solche Lücke auszunutzen (dein Beispiel mit Hans Mustermann) und ob dies manuell oder automatisiert erfolgt, etc. Dabei kann ein Faktor auch durchaus hoch bewertet werden, das Gesamtrisiko aber niedriger ausfallen.

https://www.bsi-fuer-buerger.de/BSI...shinweise/Risikostufen/Risikostufen_node.html
https://en.wikipedia.org/wiki/Common_Vulnerability_Scoring_System

 

[vidman2019]

Ich hab oben ja nen Link gepostet, wie z. B. die Einschätzung zum vom BSI genutzten DAF (Deutsche Advisory Format) herkommt. Das Ganze ist komplexer, als, dass man es in einigen Forenbeiträgen erklären könnte. Generell spielt in eine solche Bewertung hinein, ob DAF (einfache Bewertungsgrundlage) oder international CVSSv3 (komplexe Bewertungsgrundlage), auch hinein, wie hoch der Aufwand ist, um eine solche Lücke auszunutzen (dein Beispiel mit Hans Mustermann) und ob dies manuell oder automatisiert erfolgt, etc. Dabei kann ein Faktor auch durchaus hoch bewertet werden, das Gesamtrisiko aber niedriger ausfallen.

Eine Einstufung in ein Bewertungssystem mit 5 Stufen soll in irgendeiner Form die komplexe Realität abbilden? Für jeden einzelnen Menschen? Gilt die Einstufung für alle oder nur für Apple-Nutzer? Bin immer wieder erstaunt wie oft Menschen, in dem Moment in dem eine Einstufung erfolgt ist, das auf alles anwenden und jegliche Diskussion unterbinden wollen.

Für mich ist die Relevanz eine ganz andere als z.B. der Exchange-Bug. Hier kann man mich/uns direkt angreifen und ja, es gibt Gespräche die aus Datenschutzrechtlichen Gründen definitiv nicht in die Öffentlichkeit gehören. Zudem ist hier die Grundfunktion eines Kommunikationsgeräts in einer Form zerstört worden die einfach nicht passieren darf.