Sicherheitslücke im iPhone - und Apple tut nichts
Apple-Geräte galten lange als quasi unverwundbar und sehr sicher - was allerdings nicht generell zutrifft. Entscheidend ist immer auch die Frage, ob und wie Apple reagiert, wenn Experten auf Sicherheitslücken in den Systemen hinweisen.
Verheerend ist es allerdings, wenn gar keine Reaktion kommt und das Problem auch nicht behoben wird, wie ein deutsches Forschungsinstitut heute mitteilt.
Trotz Hinweis: Apple reagierte bisher nicht
Nicht gefixte Sicherheitlücke beim iPhone
Bild: teltarif.de
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legte bei einer Begutachtung von Apples iOS im Jahr 2022 wie berichtet besondere Schwerpunkte auf das Nutzerverhalten, eine sichere Anbindung an Infrastrukturen durch ein Virtual Private Network (VPN) und die Verwendung eines Mobile Device Management Systems (MDM). Das damalige Ergebnis: Das BSI bestätigte die Sicherheitsfeatures von iPhone und iPad. Apple wirbt mit seinen besonderen MDM-Features, die auf den Geräten für eine Trennung von geschäftlichen und privaten Daten sorgen sollen - nach dem Motto: Ein Handy, zweifache Nutzung.
Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) mit Sitz in Darmstadt weist in einer heutigen Mitteilung allerdings darauf hin, dass sich die Trennung einfach aushebeln lasse. Grund dafür sei eine Schwachstelle im Zusammenhang mit Apples eigener App für Kurzbefehle. Das Fraunhofer SIT habe Apple "bereits vor Monaten über die Schwachstelle informiert" - bislang ohne Reaktion. Der Konzern habe die Lücke nicht geschlossen und bewerbe weiter eine "sichere Beschränkung" durch das hauseigene Mobile Device Management.
Unternehmen wiegen sich in falscher Sicherheit
Die fragliche Kurzbefehle-App sei auf iOS-Geräten vorinstalliert und diene der Automatisierung von Aufgaben. Anscheinend habe die Kurzbefehle-App die Berechtigung, auf alle Daten zuzugreifen. Deshalb sei diese Schwachstelle des iOS-Sicherheitsfeatures durch das Fraunhofer SIT über den Apple-Prozess zur verantwortungsvollen Offenlegung von Sicherheitsschwachstellen mit detaillierter Beschreibung und Screenshots gemeldet worden.
Das Forschungsinstitut schildert das Problem, das daraus resultiert, dass Apple nicht reagiert: Unternehmen würden sich weiterhin auf die beworbene Trennung von privaten und geschäftlichen Daten verlassen, was fatale Folgen haben könne. So könnten auch ohne Vorsatz Unternehmensdaten versehentlich in private Apps versendet werden und unkontrolliert das Unternehmen verlassen – dies sei ein Sicherheitsrisiko und ein Compliance-Problem.
Guter Umgang mit Problemen inzwischen selbstverständlich
Weitere Informationen zur Schwachstelle und den damit verbundenen Risiken hat das Fraunhofer SIT auf seinem Blog veröffentlicht, doch auch darauf hat Apple offenbar nicht reagiert. In einem Video führt das Fraunhofer SIT das Problem vor:
Laut dem Fraunhofer SIT sichere gutes Schwachstellenmanagement rechtskonformes Verhalten, erhöhe das Kundenvertrauen und schütze das Firmen-Image. Zahlreiche Unternehmen hätten gar keine Prozesse zur Meldung von Schwachstellen und würden auch nicht wissen, wie sie ein effektives Product Security Incident Response Team (PSIRT) aufbauen sollen.
Neue Regularien wie der Cyber Resilience Act der EU und die Umsetzung der NIS-2-Richtlinie würden den konstruktiven Umgang mit Schwachstellen der eigenen Produkte in den Fokus rücken. Das Fraunhofer SIT habe den Rechtsrahmen hierzu analysiert und will Unternehmen und Behörden dabei unterstützen, ihr Schwachstellenmanagement zu überprüfen, ihre Prozesse zu verbessern, Sicherheitslücken zu schließen und damit ihre Unternehmenswerte durch Coordinated Vulnerability Disclosure zu schützen.
Inzwischen hat sich sogar herausgestellt, dass die beschriebene Sicherheitslücke noch schlimmer ist als angenommen.
Wer gerne Smartphone-Messenger auf dem iPhone nutzt, kann Kurzbefehle erstellen, um weniger tippen zu müssen. So gehts: Schneller tippen auf dem iPhone mit Textersetzung.