Sicherheitsfehler: Apple deaktiviert FaceTime-Gruppenchat

[MichaNbg]

Diese Meldung dürfte vor allem Unternehmen „etwas“ verschrecken, die extra wegen angeblich höherer Sicherheit auf iPhones setzen. Mal eben kurz Wanzen in allen Büros und Besprechungsräumen liegen zu haben, finden die eher nicht lustig.

 

[djtwok]

Muss der Anruf abgelehnt werden um den bug auszulösen oder genügt es die Nummer nur anzurufen ? Unverständlich das so ein Fehler beim testen nicht auffällt.

 

[Jan Gruber]

Muss der Anruf abgelehnt werden um den bug auszulösen oder genügt es die Nummer nur anzurufen ? Unverständlich das so ein Fehler beim testen nicht auffällt.

Audio gabs ohne Interaktion des Nutzers, Video nur wenn er ne Taste gedrückt hat - soweit das was ich gelesen und mittlerweile auch noch gesehen habe in Videos. Der Testcase "Wir fügen wen zu nem Gruppenchat hinzu, der nimmt aber nicht an" (passiv durch nichts tun, aktiv durch Knopfdrücken) erscheint mir jetzt nicht sehr sehr abstrus ^^

 

[kelevra]

Diese Meldung dürfte vor allem Unternehmen „etwas“ verschrecken, die extra wegen angeblich höherer Sicherheit auf iPhones setzen. Mal eben kurz Wanzen in allen Büros und Besprechungsräumen liegen zu haben, finden die eher nicht lustig.

Deswegen ist in Unternehmen, in denen in Meetings sensible Interna besprochen werden auch oft Handyverbot und die Geräte müssen vor dem Meetingraum gelassen werden.

Selbst bei uns in der chemischen Branche habe ich es schon erlebt bei einem Kunden das iPhone draussen lassen zu müssen, da man verhindern will, dass etwa Produktionsanlagen fotografiert werden.

Nicht zu vergessen sind auch die Möglichkeiten Dienstgeräte via MDM so einzurichten, dass für den Dienstgebracuh nicht benötigte Funktionen schlichtweg abgeschaltet werden und meist setzt man auch auf eine sandboxed Businesslösung, wo Mail, Adressbuch, Kalender etc. separiert sind.

Sofern die IT der Unternehmen halbwegs kompetent ist, wird man mit dem Bug entsprechend umgehen, zumal derzeit, soweit wir wissen, keine Gefahr mehr besteht, da Apple die Funktion serverseitig abgestellt hat.

 

[Jan Gruber]

Deswegen ist in Unternehmen, in denen in Meetings sensible Interna besprochen werden auch oft Handyverbot und die Geräte müssen vor dem Meetingraum gelassen werden.

Selbst bei uns in der chemischen Branche habe ich es schon erlebt bei einem Kunden das iPhone draussen lassen zu müssen, da man verhindern will, dass etwa Produktionsanlagen fotografiert werden.

Nicht zu vergessen sind auch die Möglichkeiten Dienstgeräte via MDM so einzurichten, dass für den Dienstgebracuh nicht benötigte Funktionen schlichtweg abgeschaltet werden und meist setzt man auch auf eine sandboxed Businesslösung, wo Mail, Adressbuch, Kalender etc. separiert sind.

Sofern die IT der Unternehmen halbwegs kompetent ist, wird man mit dem Bug entsprechend umgehen, zumal derzeit, soweit wir wissen, keine Gefahr mehr besteht, da Apple die Funktion serverseitig abgestellt hat.

Und gerade mit MDM kannste bei iPhones einiges machen. Dass sie das in dem Segment jetzt groß zurück wirft glaub ich, insofern, auch nicht. Wobei interessante Frage - weiß das jemand? Kann ich SMS erlauben aber iMessage auf nem iPhone / iPad mittels MDM regeln? Ich denke das sollte gehen, oder?

 

[MichaNbg]

Naja, iPhones wurden u.a. Deshalb angeschafft, weil man bsp mit den BlackBerry Containern eine saubere Trennung zwischen privater und geschäftlicher Daten hinbekommt. Entsprechend sind iPhones auch gerne für den privaten Gebrauch freigegeben. Dienstliche Mails, Adressbücher, Intranetzigang usw ist ja sicher gekapselt.

 

[kelevra]

Und gerade mit MDM kannste bei iPhones einiges machen. Dass sie das in dem Segment jetzt groß zurück wirft glaub ich, insofern, auch nicht. Wobei interessante Frage - weiß das jemand? Kann ich SMS erlauben aber iMessage auf nem iPhone / iPad mittels MDM regeln? Ich denke das sollte gehen, oder?

Ja, das ist möglich. Wird iMessage deaktiviert, können über die Nachrichten App nur noch SMS/MMS versendet werden. FaceTime lässt sich ebenfalls über MDM deaktivieren.

 

[NorbertM]

Der Testcase "Wir fügen wen zu nem Gruppenchat hinzu, der nimmt aber nicht an" (passiv durch nichts tun, aktiv durch Knopfdrücken) erscheint mir jetzt nicht sehr sehr abstrus ^^

Man muss nicht "wen", sondern sich selbst hinzufügen - ein feiner Unterschied.

 

[rootie]

Es ist immer wieder das gleiche ... Apple baut Mist, hier sogar ziemlich großen Mist. Und hier liest man nur, weshalb das eigentlich gar nicht so schlimm ist. Hat schon manchmal etwas von Stockholm Syndrom.


Das sind Fehler, die bei der Entwicklung passieren aber spätestens in breiten QA Maßnahmen auffallen müssen.

Und wehe, das wäre bei M oder G passiert, dann würde man wieder in Kriegsbemalung um das Feuer von Hohn&Spott tanzen und beschwört, wie doof doch alle anderen sind wie toll der Apfel schmeckt...

Ich hoffe mal sehr stark, dass Du damit nicht mich gemeint hast. Ansonsten müsste ich Dir direkt selektives Lesen vorwerfen. Ich habe geschrieben, dass das ein Major Bug ist. Aber nicht der Bug ist Mist (weil Bugs einfach nicht zu verhindern sind!), sondern wie Apple damit umgegangen ist. Vielleicht lernen sie ja daraus und kommunizieren das zukünftig anders. Nachdem es öffentlich wurde, ist innerhalb von sehr kurzer Zeit die Gefahr rausgenommen worden, weil sie den Dienst abgeschaltet haben. Auch das ist absolut in Ordnung so - man stelle sich vor, wie gewisse Leute hier rumgemault hätten, wenn das ein paar Tage aktiv ausgenutzt werden hätte können, bis ein Software-Update da ist.

Bei Windows (was ich privat auch an 1 Rechner nutze) gibt es beinahe monatlich Hiobsbotschaften, wenn Patch Day ist. Immer geht irgendwas anderes nicht. Beim letzten großen Update im Oktober wurden sogar Benutzerverzeichnisse gelöscht. Ich bin nun wirklich kein Microsoft-Fan. Ich nutze Windows, weil ich es an dieser Stelle muss. Aber ich verurteile Microsoft auch trotz des misslungenen Updates nicht, weil ich als ITler weiß, dass so etwas heutzutage mit dem Druck, etwas zu veröffentlichen, einfach nicht vermeidbar ist. Ich stelle mich sogar hinter Microsoft und sage: „No Backup, no Mercy!“ - auf der einen Seite fordern die User immer Neues, Besseres. Auf der anderen Seite maulen sie regelmäßig rum. Das passt einfach nicht zusammen.

Und bei BlackBerry war und ist auch nicht immer Gold, was glänzt. Hätten die nicht den Aufsprung auf sämtliche Smartphone-Züge verpennt, stünden sie jetzt vor exakt den gleichen Herausforderungen, was qualitativ hochwertige und sichere Software betrifft. iOS und die Apple-Dienste sind mit dem Grundgedanken der Sicherheit gemacht worden. Das sieht man, dass Apple aus der Ferne heraus in der Lage ist, gefährliche Dinge zu deaktivieren, damit man nicht mit den updatefaulen Leute ein Problem hat.

Lange Rede, kurzer Sinn: Kritik ist immer gut. Aber bitte mit Hand und Fuß. Genau so, wie Ihr den angeblichen Apple-Jüngern vorwerft, alles immer nur gut zu reden, redet ihr alles direkt und wie einprogrammiert schlecht.

Dir ist im übrigen schon klar, was das Stockholm-Syndrom ist, oder? Da geht es darum, dass man sich in einer ausweglosen Situation mit seinem stärksten Feind verbrüdert (Entführer, Geißel) und nicht darum, wie man als Fan von etwas/jemanden auf eine bestimmte Situation reagiert.

Da hier auch immer dieselben zwei Leute versuchen, Beef reinzukriegen wo es gar keinen gibt, klinke ich mich sicherheitshalber wieder aus

 

[MichaNbg]

Ich hoffe mal sehr stark, dass Du damit nicht mich gemeint hast. Ansonsten müsste ich Dir direkt selektives Lesen vorwerfen. Ich habe geschrieben, dass das ein Major Bug ist. Aber nicht der Bug ist Mist (weil Bugs einfach nicht zu verhindern sind!), sondern wie Apple damit umgegangen ist. Vielleicht lernen sie ja daraus und kommunizieren das zukünftig anders. Nachdem es öffentlich wurde, ist innerhalb von sehr kurzer Zeit die Gefahr rausgenommen worden, weil sie den Dienst abgeschaltet haben. Auch das ist absolut in Ordnung so - man stelle sich vor, wie gewisse Leute hier rumgemault hätten, wenn das ein paar Tage aktiv ausgenutzt werden hätte können, bis ein Software-Update da ist.

Nein, ich habe nicht dich speziell gemeint. Und ja, Apples Kommunikationspolitik ist einfach ein Desaster. In vielen, vielen Bereichen. Früher oder später wird das auch noch zu einem großen Problem für sie.

Lange Rede, kurzer Sinn: Kritik ist immer gut. Aber bitte mit Hand und Fuß. Genau so, wie Ihr den angeblichen Apple-Jüngern vorwerft, alles immer nur gut zu reden, redet ihr alles direkt und wie einprogrammiert schlecht.

Nein. Es ist ein Bug. Ein Bug der zum einen zu spät entdeckt und dann nicht mal zeitnah und sauber kommuniziert wurde. Dass ein solcher Bug nicht veröffentlicht werden dürfte .... da stehe ich so auch noch dahinter.

 

[Jan Gruber]

Während wir hier auf nem sehr persönlichen Niveau sprechen - ich bin gespannt wie Gerichte hier entscheiden. Die ersten Klagen sind schon unterwegs - wegen Bruch der Privatsphäre. Es ist eben "nicht nur einfach ein Bug".

 

[Mokotschombo]

...

Dir ist im übrigen schon klar, was das Stockholm-Syndrom ist, oder? Da geht es darum, dass man sich in einer ausweglosen Situation mit seinem stärksten Feind verbrüdert (Entführer, Geißel) und nicht darum, wie man als Fan von etwas/jemanden auf eine bestimmte Situation reagiert.
...

Aber für das Verteidigen eigener Anschaffungen gibt's auch ne Bezeichnung, vielleicht weiß jemand wie das heißt?

 

[Fresh_Prince]

Am Ende hat jede Seite natürlich für sich selbst recht, weil sie für sich selbst recht haben möchte und das für sich selbst auch allgemeingültig beansprucht. Ihr redet hier regelmäßig bei so vielen Themen aneinander vorbei ohne ans Ziel zu kommen. Genau deshalb und das finde ich oftmals schade.

Meine Meinung.

1. Solch ein Bug ist sehr schlimm, gerade weil Apple der selbsternannte Sicherheits- und Privatsphäremeister sein will
2. Die Kommunikation ist wieder mal schlecht gewesen
3. Gut, dass diese Funktion einfach serverseitig deaktiviert werden konnte
4. Eine Behebung kommt noch in dieser Woche
--> besser wäre aber früher gewesen

Insgesamt weiß ich nicht, weil ich nicht in einer solchen Materie stecke, wie man solch Bugs, die durch nicht der realitätsnahen Benutzung eines Gerätes ausgelöst werden, durch Standardqualitätssicherungsprozesse herausgefunden werden können. Ob es überhaupt sowas gibt, was solche Szenarien mit einbezieht. Irgendwie kann ich nicht daran glauben das es was Anderes gibt, als Standard 0815 Prozesse für sowas... .


PS:

Und ja, bei Microsoft, Google oder anderen großen Techfirmen passieren solche Peinlichkeiten oder andere schlimme Dinge auch regelmäßig. Jedoch, und ich schaue regelmäßig bei Techseiten vorbei, schlägt das nie wirklich große Wellen und verpufft meist eine kurze Zeit danach in Bedeutungslosigkeit. Was es nicht sollte.
Ich stufe da nicht ab. Egal wer es verbockt, es ist immer gleich schlimm und Negativ bei wem auch immer solche Dinge passieren.

 

[Ulrich Reinbold]

Die ersten Klagen sind schon unterwegs - wegen Bruch der Privatsphäre. Es ist eben "nicht nur einfach ein Bug".

Da wird gar nix passieren. Es war ein sehr ungewöhnlicher Fehler. Daher hat auch die Qualitätssicherung versagt. Damit wurde einfach nicht gerechnet. Kannst nur testen, was du eben auch erwartest. Es wirkt natürlich alles sehr dumm und sehr amateurhaft. Doch diese Fehler werden bleiben. Die Systeme sind mittlerweile zu komplex. Ist auch bei Windows so. Da ist viel nerviger, dass gefühlt jede Woche ein Office-Update rausgeht. Mehr braucht man über die Qualität nicht sagen.

Von der PR-Seite wird es ein Sturm im Wasserglas bleiben. Außerhalb der Nerds ist das Thema durch. Da bleibt nichts haften und es wirkt sich nicht wesentlich auf ei Verkäufe aus. Was soll denn sonst gekauft werden. Samsung? Huawei?

Glaube, Apple hat verhältnismäßig schnell reagiert. Es ist eben ein Unterschied, ob ein Fehler ein paar Nutzer betrifft, oder mehrere. Klar kann man sagen, der Bug wurde bereits in Foren genannt. Doch im Internet steht eben viel Müll. Alles ist gleich ein riesiges Problem. Was soll man da denn als Unternehmen tun. Sinnvoll und zielgerichtet arbeiten, oder nicht?

 

[saw]

Da ist viel nerviger, dass gefühlt jede Woche ein Office-Update rausgeht. Mehr braucht man über die Qualität nicht sagen.

Also Windows darf nicht so viele Fehler ausbügeln?
Das Fehler unvermeidlich sind, haben wir hier ja nun relativ einstimmig festgestellt und ist grundsätzlich okay und zu akzeptieren ^^
Wenn Windows nun mehr findet und behebt, kann dass ja auch bedeuten, die suchen besser

 

[Draco]

PS:

Und ja, bei Microsoft, Google oder anderen großen Techfirmen passieren solche Peinlichkeiten oder andere schlimme Dinge auch regelmäßig. Jedoch, und ich schaue regelmäßig bei Techseiten vorbei, schlägt das nie wirklich große Wellen und verpufft meist eine kurze Zeit danach in Bedeutungslosigkeit. Was es nicht sollte.

Wie anderweitig schon geschrieben, meiner Ansicht nach ist die mediale Einflussnahme auf uns Konsumenten schuld, dass wir subjektiv anders entscheiden. Der mediale Druck auf Apple als Platzhirsch und allgemeiner Tech-Gigant ist vergleichbar viel höher als bei Microsoft als Beispiel. Objektiv sinnfrei, subjektiv bedeutend. Das Wort "Bug" bei Microsoft löst bei niemandem mehr große Emotionen aus, weil "war schon immer so" (rein subjektiv betrachtet). Hingegen Hat Apple (rein subjektiv!) noch immer die weisse Weste an (objektiv: totaler Unfug) und das gibt eine Konfrontation zwischen Erwartungshaltung und Realität.
Ergo bei jedem Fehler ein riesen Mediengeblubber über Apple, sowohl bei positiven Entwicklungen, wie auch bei negativen Entwicklungen. Hinzu kommt noch die immer noch sehr verbreitete Kundenbindung an die Apple-Geräte, was noch eine Schippe obendrauf auf unsere Meinugsbildung bewirkt.

Ich stufe da nicht ab. Egal wer es verbockt, es ist immer gleich schlimm und Negativ bei wem auch immer solche Dinge passieren.

Gratulation, wenn Du das kannst. So sollte es sein. Aber die mit Abstand große Masse an Menschen steht dermaßen unter Einfluss, dass "abgestuft" oder anders formuliert "abweichend bewertet" wird. Teils weit über- oder untertrieben mit Bezug auf den tatsächlich realen Sachverhalt.
Ich schließe mich da übrigens mit ein und spreche mich nicht frei, dagegen immun zu sein.

 

[MichaNbg]

Also, dass man den Fehler nicht habe finden können sollen .... weiß nicht, wie Apple das handhabt. Aber wenn solche Anwendungen entwickelt werden, dann schaut man sich in Tests und der QA nicht nur die Oberfläche an. Normal lässt man da auch ein tieferes debugging auf beiden Seiten mitlaufen und man überwacht auch das Backend, was da so passiert. Kommen die richtigen Anforderungen und Antworten, wird mehr gequatscht als es sollte? Usw. Und da könnte dann schon mal auffallen, dass da ein Connection offen ist und Daten übertragen werden, obwohl noch keine Verbindung hergestellt sein dürfte.

Nur um mal einen Ansatz zu nennen, wie man so etwas bei gewissenhafter Entwicklung und QA abfangen kann. Selbst bei vollständiger Automation der QA. Letztendlich eine simple Plausibilitätsprüfung.

Wie gesagt, Apple hat sich selbst zum
Sicherheits-, Datenschutz- und Qualitätsmarktführer ausgerufen.

 

[Ulrich Reinbold]

Wenn Windows nun mehr findet und behebt, kann dass ja auch bedeuten, die suchen besser

Bei der Häufigkeit von Updates werde sie da offenbar sich leicht fündig Aber mal ernsthaft: Jede Woche ein neues Update finde ich sehr nervig und wenig benutzerfreundlich. Davon ist Apple noch weit entfernt.

Wie gesagt, Apple hat sich selbst zum
Sicherheits-, Datenschutz- und Qualitätsmarktführer ausgerufen.

Macht es einer besser?

 

[ottomane]

Exakt so ist es. Die Lücke ist dicht, weil Apple den Dienst deaktiviert hat, bis der Bugfix vorliegt.

@Jan Gruber Ich arbeite selber in der Softwareentwicklung und kann Dir versichern, dass es faktisch unmöglich ist, selbst solche Riesenfehler zu verhindern. Egal wie viele Ressourcen oder Geld Du hast. Es geht nicht!

Man kann Fehler nie komplett vermeiden, aber man kann durch gute Planung und Tests die Wahrscheinlichkeit für Fehler sehr deutlich reduzieren. Die Entwicklung sehr sicherer und stabiler Software ist aber teuer und im Extremfall sogar eine eigene Disziplin.

Andernfalls wäre die Nutzung von Software in kritischen und sensiblen Bereichen nicht möglich, z.B. bei Banken, in industriellen Anwendungen, im Auto, in der Luftfahrt, beim Militär usw. Hierfür gibt es etablierte Standards. Dort herrschen aber andere Anforderungen, als die, denen sich Apple offensichtlich unterwirft.

In diesem Fall hätte klar sein müssen: Gruppenfactetime ist eine hochgradig verteilte komplexe Anwendung, die Zugriff auf allerhand sehr persönliche Daten hat. Man hätte durchaus auf die Idee kommen können, diese anderen Anforderungen zu unterwerfen, als man sie für z.B. einen Texteditor hat. Dies ist offensichtlich nicht der Fall gewesen.

Apple hätte sogar mit der Erfüllung bestimmter Sicherheitsstandards werben können. Stattdessen passiert erneut so ein Ding, das nicht passieren darf.

Es ist ja nicht der erste Bug, bei dem man sich fragt, wie er das Labor überhaupt verlassen konnte. Erzählungen von Insidern liefern da durchaus Erklärungsansätze.

 

[_macminimal]

Gibt es zu dieser oder vorherigen Sicherheitslücken bei Apple, Erkenntnisse darüber wie viel realer Schaden angerichtet wurde?

@Jan Gruber Mercedes warb/wirbt Jahrzehnte damit die sichersten Autos zu bauen. Zudem hat MB in diesem Segment viele Basics entwickelt und realisiert. Dennoch gab und gibt es auch da Rückrufaktionen oder Test-Fails... wie würdest du Stand jetzt Mercedes diesbezüglich (subjektiv gefühlt/image-technisch) einstufen? Als unsicher, oder unsicherer als XY?