Sicherheitsfehler: Apple deaktiviert FaceTime-Gruppenchat

[Jan Gruber]

Sicherheitsfehler: Apple deaktiviert FaceTime-Gruppenchat

Aufgrund eines Sicherheitsfehlers hat sich Apple dazu entschieden, den FaceTime-Gruppenchat weltweit zu deaktivieren. Das betrifft sowohl iOS als auch macOS. Bei dem Fehler handelt es sich um einen massiven Sicherheitsbruch in Sachen Privatsphäre. So können Telefonnummern zu einem Telefonat hinzugefügt und deren Mikrofon abgehört werden - selbst wenn diese nicht am Telefonat teilnehmen. Der Fehler betrifft auch den Mac.

Sofern der Empfänger den FaceTime-Anruf per Drücken auf die Standby-Taste ablehnt, wird die Kamera ebenfalls aktiviert - und das Live-Video übertragen.
Sicherheitsfehler - FaceTime nicht erreichbar


Auch die Apple Statusseite gibt an, dass der Dienst aktuell nicht erreichbar ist. Hier ist der Grund "ein andauernder" Fehler. Wie lange FaceTime-Gruppenchats nicht verfügbar sind, ist indes unklar. Ebenso ist nicht bekannt, ob Apple den Fehler serverseitig beheben kann oder hier ein Betriebssystemupdate notwendig wird.

Via TheVerge

 

[Mitglied 87291]

Und die NSA so

Angeblich ist der Fehler seit iOS 12 verbreitet und wurde in gewissen Foren auch kommuniziert.

 

[Mure77]

Man sieht hier was technisch möglich ist.

 

[Jan Gruber]

Ich finde es wirklich beeindruckend wie sowas nicht in (automatisierten) Tests auffallen kann und wie sehr sich Apple sein Grab schaufelt. Gerade in Zeiten von "Wir sind Privacy, wir sind sicher" musste dann auch liefern - damit meine ich keine Fehler wie diesen

Einziger Vorteil: Das nützen wahrscheinlich sehr wenige Leute

 

[marcozingel]

Wie so vieles in letzter Zeit peinlich bedenklich !

 

[djtwok]

Darum hat das heute nicht mehr funktioniert sehr interessant.

 

[rootie]

Wieso sollte sich Apple ein Grab schaufeln? Fehler passieren und die Lücke ist momentan dicht.

Man schaue sich die Sicherheitslücke für Millionen von Cisco-Routern an. Das ist eine andere Hausnummer.

Das einzige, was man Apple hier ankreiden kann ist, dass sie das wohl seit einer Woche bereits wissen und sich nicht gemeldet haben. Sie wollten das wohl ohne großes Tam Tam in Ordnung bringen. Und das klappt halt einfach in der Regel nicht.

 

[Jan Gruber]

Die Lücke ist mit Nichten dicht, Apple hat nur den Dienst deaktiviert.

Am Ende geht es da nicht um Fakten - sondern darum das Apple sich ein öffentliches Image gibt. Momentan stärker den je, siehe auch die Werbung auf der CES. Und dass das was auf der anderen Seite in die Medien kommt dann nicht dem entspricht. Grab schaufeln mag übertrieben sein, aber sie zerstören ihr Image und ihren Ruf mehr und mehr in der öffentliche Meinung bzw. Beim Consumer - und Apple ist vA eine Firma für Consumer. Der Cisco Vergleich ist dabei ideal weil unpassend - das ist keine Firma für Privatkunden. Da zählen, hoffentlich, andere Dinge als durch Werbeplakate generiertes Image.

 

[NorbertM]

Die Lücke ist mit Nichten dicht, Apple hat nur den Dienst deaktiviert.

Ohne Dienst, keine Lücke - also ist sie erstmal dicht.

Das ist eine unschöne Sache, aber in der Praxis lassen sich bei so komplexen Systemen Fehler nicht vermeiden. Inwieweit das zu realen Lauschangriffen geführt hat, ist ja gar nicht bekannt.

 

[rootie]

Exakt so ist es. Die Lücke ist dicht, weil Apple den Dienst deaktiviert hat, bis der Bugfix vorliegt.

@Jan Gruber Ich arbeite selber in der Softwareentwicklung und kann Dir versichern, dass es faktisch unmöglich ist, selbst solche Riesenfehler zu verhindern. Egal wie viele Ressourcen oder Geld Du hast. Es geht nicht!

 

[Jan Gruber]

Ohne Dienst, keine Lücke - also ist sie erstmal dicht.

Das ist eine unschöne Sache, aber in der Praxis lassen sich bei so komplexen Systemen Fehler nicht vermeiden. Inwieweit das zu realen Lauschangriffen geführt hat, ist ja gar nicht bekannt.

Sorry aber das ist nicht Prism/Meltdown Und sowas komplexes wie ein Prozessor ,... Das ist Software - ein Messenger - und ein Dienst den alle anderen schon lange bieten. Das spät bringen, dann schieben, und dann unsicher ist ein Armutszeugnis, sry. Klar wir können alles deaktivieren dann ist alles sicher. Das ist keine Lösung. Und nicht die Funktionen für die der Kunde quasi auch zahlt. Wir zahlen auch für das OS, das sagt uns Apple ja immer wieder.

@rootie Ich bin studierter Softwareentwickler. Meinem Verständnis und meiner Praxis nach gibt es für sowas automatisierte Tests. Und wenn es die nicht gibt oder die das nicht finden dann haste als Produzent heftig was verbockt und die Kritik verdient.

Sry da lass ich mich echt nicht abbringen. Bei dem Standing das Apple "einfordert" und den Preisen hat der Kunde mehr verdient.

 

[NorbertM]

Und sowas komplexes wie ein Prozessor ,... Das ist Software - ein Messenger

Software, nur ein Messenger - nicht komplex?

Dann mal ran an die Geräte, mit sowas kannst du schnell reich werden.

 

[Jan Gruber]

Es schaffen offenbar die Firmen gegen die in Apple Foren gerne gebasht wird. Von daher ‍♂️

Ich sag nicht dass Messenger nicht komplex sind - ich sag nur dass es keine Raketentechnik (bzw sowas komplexes wie Prozessoren) sind wo ich Argumente wie "Das ist nicht schaffbar" oder "alles nur Theorie, das kann niemand außer Forscher finden" theoretisch gelten lasse.

Und by the way sorry aber was für ein Quatsch? Das man mit Messengern nicht reich werden kann zeigen uns all die kostenlosen Messenger die nur VC verbrennen

 

[rootie]

Deine Argumentation hinkt - sorry - gewaltig. Zu behaupten, bei anderen Messengern wäre das nicht der Fall oder müsste ja nicht so sein, weil die Hersteller dort die Sicherheit nicht so bewerben ist a) falsch und b) eine sehr gewagte Aussage. Was sagst Du denn, wenn auf einmal bei Deinem Lieblingsmessenger XYZ eine Sicherheitslücke auftaucht?

Und gerade automatisierte Tests finden so einen - sorry - Bullshitfehler eben NICHT! Solche Tests gehen stupide vor. Genausowenig wirst Du auch die klassischen „Lock-Screen-Bypasses“ je via automatisierten Tests finden, weil die Abfolge, bis so ein Bug auftaucht, dermaßen abstrus ist, dass das kein statischer Test findet.

Wenn Du also studierter Softwareentwickler bist (seit wann kann man das studieren? Ich dachte immer, das wäre nur eine Ausbildung), dann müsstest Du wissen, dass es keine fehlerfreie Software gab, gibt und jemals geben wird. Nie. Bei keinem Hersteller. Never ever.

Du kannst mir ja gerne das Gegenteil beweisen und mir ein Produkt sagen, das seit jeher nur .0 - Versionen anbietet (also nur neue Features ohne Bug-Subversionen).

Apple hat hier nichts falsch gemacht - außer zu spät reagiert. Sie wollten den Fehler beheben, bevor er an die Öffentlichkeit geriet und sie haben sich nicht beim Urheber des Bugs gemeldet. DAS sind unverzeihliche Fehler - nicht ein Bug in einer Software...

 

[NorbertM]

Und by the way sorry aber was für ein Quatsch? Das man mit Messengern nicht reich werden kann zeigen uns all die kostenlosen Messenger die nur VC verbrennen

Das ist ganz realer "Quatsch". Schon mal was von WhatsApp gehört - die Entwickler haben 14 Milliarden kassiert.

 

[saw]

Lustig, wenn bei Windows etwas nicht funktioniert, böse/schlecht/typisch Windows....
Wenn bei Apple was nicht funktioniert, Problem sitzt vor dem Monitor, Software ist nie perfekt, kann passieren....

 

[MichaNbg]

Es ist immer wieder das gleiche ... Apple baut Mist, hier sogar ziemlich großen Mist. Und hier liest man nur, weshalb das eigentlich gar nicht so schlimm ist. Hat schon manchmal etwas von Stockholm Syndrom.


Das sind Fehler, die bei der Entwicklung passieren aber spätestens in breiten QA Maßnahmen auffallen müssen.

Und wehe, das wäre bei M oder G passiert, dann würde man wieder in Kriegsbemalung um das Feuer von Hohn&Spott tanzen und beschwört, wie doof doch alle anderen sind wie toll der Apfel schmeckt...

 

[Verlon]

Es ist immer wieder das gleiche ... Apple baut Mist, sogar ziemlich großen Mist. Und hier liest man nur, weshalb das eigentlich gar nicht so schlimm ist. Hat schon manchmal etwas von Stockholm Syndrom.

Klar, wenn man die Hälfte der Beiträge ignoriert, stimmt das sogar, alle verteidigen Apple. Gibt es eine medizinische Bezeichnung für Menschen die nur selektiv wahrnehmen können?

 

[ChrisW90]

Hui, das ist schon eine krasse Lücke (gewesen) und es ist klar, dass so etwas nicht hätte passieren dürfen. Vor allem nicht, nach dem Apple die Gruppenfunktion erst später als angekündigt ausgeliefert hat.
@Jan Gruber hat auch Recht wenn er sagt, dass eine solche Lücke einen größeren Imageschaden bedeutet als beispielsweise für Facebook, da Apple die Sicherheit der Daten stets prominent anpreist.

Völlig übertrieben ist jedoch die Aussage „Apple schaufelt sich sein eigenes Grab“. Analog zu den News rund um die Quartalszahlen ist das einfach zu viel.

Zudem macht mich die Aussage stutzig, wenn ein „studierter Softwareentwickler“ sagt, die Software für einen Messenger sei einfacher gegen Bugs abzusichern, als andere Software mit dem Hinweis auf Prozessorentwicklung. Jede Software ist nur ein Code, der auf einem Prozessor ausgeführt wird. Von daher ist jede Software potentiell gefährdet die möglichen Lücken eines Prozessors ebenso in sich zu tragen.

Ich bin gespannt, welche Schlüsse Apple daraus ziehen wird, vermutlich wird man davon nichts mitbekommen. Die offizielle Kommunikation wie es zu dem Fehler kommen konnte wird Apple jedoch nicht umgehen können und dies wird nicht weniger spannend.

Insgesamt zeigt es mir mal wieder, dass man eigentlich dazu übergehen sollte jegliche Software/Dienste kategorisch abzuschalten, sofern man diese nicht nutzt (in meinem Fall FaceTime). Ist zwar blöd, hilft aber am effektivsten.

 

[Jan Gruber]

Das ist ganz realer "Quatsch". Schon mal was von WhatsApp gehört - die Entwickler haben 14 Milliarden kassiert.

Das war "einer der ersten" und ist sehr lange her. Hast du aus dem Jahr 2019 was gehört? Ich geb dir sogar noch zwei Jahre so ab 2017? Ich schau mir mal Telegram, Wire, Threema an ,... ich glaub die wurden alle keine Milliardäre. Wir sprechen "heute" - da Milliardär mit nem Messenger werden halte ich für "an der Realität" vorbei.

Und gerade automatisierte Tests finden so einen - sorry - Bullshitfehler eben NICHT! Solche Tests gehen stupide vor. Genausowenig wirst Du auch die klassischen „Lock-Screen-Bypasses“ je via automatisierten Tests finden, weil die Abfolge, bis so ein Bug auftaucht, dermaßen abstrus ist, dass das kein statischer Test findet.

Wenn Du also studierter Softwareentwickler bist (seit wann kann man das studieren? Ich dachte immer, das wäre nur eine Ausbildung), dann müsstest Du wissen, dass es keine fehlerfreie Software gab, gibt und jemals geben wird. Nie. Bei keinem Hersteller. Never ever.

Du kannst mir ja gerne das Gegenteil beweisen und mir ein Produkt sagen, das seit jeher nur .0 - Versionen anbietet (also nur neue Features ohne Bug-Subversionen).

Stimmt, ich habs "gelernt" (HTL, Österreichische Ausbildung) und danach Wirtschaftsinformatik studiert Nein mir ist völlig klar und auch aus meiner Praxis bekannt dass es keine Software ohne einen Fehler gibt. Ohne "viele" Fehler sogar. Aber es gibt ja erhebliche Unterschiede der Schwere von Fehlern. Und das ist ein kapitaler.

Und hrm doch, automatisierte Tests die zb einfach mal Textfelder auf die Eingabe aller möglichen Zeichen die ein Computer schreiben / schicken kann zu überprüfen hab sogar ich schon gebaut. Bei vernünftigen Tests sollte ein Fehler wie "Zeichen geschickt App stürtzt ab" nicht passieren. Den Fehler hier hätte spätestens ein menschlicher Tester auf dem Zettel mit seinen Testcases haben müssen Ich bin schon bei dir. Diese "Du musst den Code eintippen dann dreimal das Telefon in die Luft werden und dann noch fünf mal Regentänze aufführen" Fehler findet man nicht.

Hui, das ist schon eine krasse Lücke (gewesen) und es ist klar, dass so etwas nicht hätte passieren dürfen. Vor allem nicht, nach dem Apple die Gruppenfunktion erst später als angekündigt ausgeliefert hat.
@Jan Gruber hat auch Recht wenn er sagt, dass eine solche Lücke einen größeren Imageschaden bedeutet als beispielsweise für Facebook, da Apple die Sicherheit der Daten stets prominent anpreist. Völlig übertrieben ist jedoch die Aussage „Apple schaufelt sich sein eigenes Grab“. Analog zu den News rund um die Quartalszahlen ist das einfach zu viel.

Ich bin mir sehr sicher das Apples Rückgang bei iPhone Verkäufen auch damit zu tun hat. Sie büßen Image ein. Wegen iPhones die einfach ausgehen wenn es kalt wird, wegen Drosselung von Geräten (und Akku-Tausch - das sagt ja mittlerweile auch Cook dass das mit der letzten Korrektur zu tun hat) und auch mit Sicherheitsproblemen. Wenn ich Premium Preise verlange muss ich einfach Premium liefern. Und die Wahrnehmung dass sie das tun sinkt in der öffentlichen Wahrnehmung. Ich war gestern in nem Apple Store. Das FaceTime-Problem war dort Thema - ein starkes - und zwar auch bei Oma Erna und Onkel Enno.

Grab schaufeln mag übertrieben sein, aber sie zerstören ihr Image und ihren Ruf mehr und mehr in der öffentliche Meinung bzw.

Zudem macht mich die Aussage stutzig, wenn ein „studierter Softwareentwickler“ sagt, die Software für einen Messenger sei einfacher gegen Bugs abzusichern, als andere Software mit dem Hinweis auf Prozessorentwicklung. Jede Software ist nur ein Code, der auf einem Prozessor ausgeführt wird. Von daher ist jede Software potentiell gefährdet die möglichen Lücken eines Prozessors ebenso in sich zu tragen.

Naja sry aber da hilft mir dann doch offenbar meine Erfahrung. Microcode, also quasi die Firmware des Prozessors, ist schon etwas anders als "jeder Code". Ein Messenger, wohl er auch komplex ist, ist wesentlich einfacher als die Code-/Firmware Entwicklung für einen Prozessor selbst. Ich hab probiert Prism und Meltdown auszunutzen und das nachgestellt. Ging, kostete mich drei Tage und ich wusste was ich tue. Darum lass ich mich zu der Aussage hinreißen, dass der Fehler eher theoretischer Natur war. Um den Fehler bei iMessage nutzen zu können brauchte man nix. Da reichten zwei Zeilen und man wusste wie es klappt.