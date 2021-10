Apple scheint immer wieder Fehlerbehebungen in seinen sicherheitsrelevanten Betriebssystem-Updates vorzunehmen, ohne dass der Konzern die Nutzer darüber informiert. Schon seit längerer Zeit kommt es vor, dass das Unternehmen die offiziellen Beipackzettel seiner Security-Aktualisierungen nur häppchenweise befüllt. Teilweise dauert es Wochen oder Monate, bis CVE-IDs, Fehlerbeschreibungen und Credits nachgereicht werden. Manchmal scheint Apple vermeiden zu wollen, dass aufgrund fehlender Update-Durchdringung ungepatchte Lücken ausgenutzt werden, doch häufig bleibt unklar, warum der Konzern diese Taktik anwendet. Ein bekannter Sicherheitsforscher hat das Problem nun gleich mehrfach am eigenen Leib erfahren.

Gepatcht, nicht genannt und auch kein Geld

Von Denis Tokarev alias "illusionofchaos" bereits öffentlich gemachte Lücken sollen demnach in iOS 15.0.2 von Apple einfach geschlossen worden sein, ohne dass es dazu Details gab. Tokarev hatte mehrere Bugs, die noch über keine Fehlerbehebung verfügten und mit der Nutzerdaten durch unberechtigte Apps abgegriffen werden konnten, aus Frust über Apple einfach öffentlich gemacht.

Er habe die insgesamt vier Zero-Day-Lücken schon im Frühjahr an Apple gemeldet, berichtet der Sicherheitsforscher. Der Hersteller habe jedoch nur eine davon mit iOS 14.7 beseitigt und sie schon damals nicht in den Sicherheits-Releasenotes für die Öffentlichkeit dokumentiert. Auch wurde Tokarev nicht im Rahmen des Bug-Bounty-Programms entlohnt.

Sicherheitsforscher wird plötzlich "anonym"

Mit iOS 15.0.2 geschah nun Ähnliches: Dort wurde eine der bereits publizierten Lücken von Apple gepatcht. Diese wird im Beipackzettel sogar erwähnt, doch wurde sie einem "anonymen Sicherheitsforscher" zugewiesen. Der in der Szene so wichtige Credit fehlte. Apple hatte zuvor schon zum fehlenden Credit in iOS 14.7 mitgeteilt, man entschuldige sich dafür und es habe ein "Verarbeitungsproblem" gegeben.

Tokarev ist vor allem auch deshalb verärgert, weil Apple erratisch reagiert. Zunächst hatte der Konzern sich bei dem Sicherheitsforscher nämlich sogar entschuldigt. Man habe "das Blogposting im Bezug auf dieses Problem und Ihre anderen Berichte" gesehen. "Wir entschuldigen uns für die Verzögerung mit unserer Antwort", so der Konzern lapidar. (bsc)