iOS 9.3.5 Zero Days ein “Desaster für Apple”? Im Gegenteil.

Jeder der heute Twitter oder andere Medien aufmacht ist bestimmt schon über die Meldungen über Apple’s neues iOS Update gestolpert.

Nun, was ist passiert: Nach bisherigen Informationen wurden 3 bisher unbekannte Schwachstellen in iOS entdeckt, die in Kombination nach Klick auf einen Link zu Schadsoftware Zugriff auf das iPhone ermöglichen.

Ist das Grund zur Panik? Nein.

Erklärung:

Diese Art von “zero day” Schwachstelle ist dank Apples Investitionen in sichere Software-Entwicklung nicht nur sehr selten, sondern auch noch sehr teuer. Apple betreibt ein sogenanntes “Bug Bounty Program”, das heißt als Entdecker einer solchen Schwachstelle kann man mehrere zehntausend bis hunderttausend US-Dollar verdienen. Damit verhindert Apple das Bekanntwerden dieser Schwachstellen bevor sie behoben werden können (der Entdecker meldet die Schwachstelle an Apple, erhält eine Bezahlung, Apple behebt das Problem und erst nach Verbreitung der Updates darf der Entdecker über die Schwachstelle reden).

Wenn dies — wie in diesem Fall — nicht geschieht lässt das nur einen Schluss zu: hinter der entdeckten Sicherheitslücke stecken Organisationen mit sehr sehr großen finanziellen Mitteln oder sogar nation states, d.h. Geheimdienste.

Benutzt wurden die Schwachstellen offenbar von der NSO group, einem Unternehmen das die New York Times “one of the world’s most evasive digital arms dealer” nennt. Die Sympathieträger sind z.B. dafür bekannt im Auftrag von Saudi Arabien Menschenrechtsaktivisten zu überwachen.

Für normale User, die üblicherweise keine Geheimdienste als direkte Feinde haben, heißt das daß es relativ unwahrscheinlich ist daß ein so teurer Exploit auf sie angewendet wird (trotzdem macht man das Update natürlich…).

Zurück zur Überschrift meines Artikels:

Mit Apple-Bashing kann man Page Impressions für seine Werbung erzielen wie mit kaum einem anderen Thema. Nachdem die Tagesschau vorgelegt hat ist sich das ZDF nicht zu schade noch eine Schippe draufzulegen:

Nachdem wir aber verstanden haben um was es geht wird klar, wie hier auf Clicks abgezielt wird - koste es was es wolle.

Passend dazu die sicherlich rein zufällig ausgewählten Links unter dem Tagesschau-Artikel:

Tatsächlich gibt es kaum einen anderen Hersteller der in Punkto Sicherheit besser arbeitet als Apple. Die viel gescholtene “Monokultur” erlaubt es Apple nämlich, solche Probleme binnen Stunden nach Bekanntwerden nicht nur zu beheben, sondern auch zu den Geräten auszurollen - und zwar mit Wucht:

Ich führe Sicherheitsanalysen für mobile Anwendungen durch, dafür (und nur dafür!) ist ein Jailbreak gelegentlich hilfreich. Ich hatte ein iPad, das noch auf 9.3.3 war, und konnte erleben wie ich mehrmals täglich vom Betriebssystem auf das ausstehende Update hingewiesen wurde; ein normaler User installiert das spätestens beim dritten Mal.

Ein Desaster für Apple also? Ganz und gar nicht. Wer mag kann ja mal überlegen wie solche Schwachstellen in anderer Technologie behandelt werden.

Von unseren öffentlich-rechtlichen Medien hätte ich in diesem Fall erwartet daß der Schwerpunkt des Artikels — wie z.B. in der New York Times — auf denjenigen liegt, die die Schwachstellen zum Nachteil von Bürgern einsetzen, und nicht auf denen, die sie bekämpfen.