> > > > Apple: Google implizierte falsche Tatsachen zur iOS-Sicherheit

Apple: Google implizierte falsche Tatsachen zur iOS-Sicherheit

Veröffentlicht am: von

apple specialevent2017In der vergangenen Woche macht unter anderem das Sicherheitsteam von Google (Googles Project Zero) auf einige Lücken in iOS aufmerksam. Sie sorgten unter anderem dafür, dass über kompromittierte Webseiten ein Zugriff auf iOS-Geräte ermöglicht wurde. Für die Angriffe wurden sogenannte Zero-Day-Exploits verwenden, also bisher unbekannte Sicherheitslücken.

Googles Argumentation: Auch iOS könne nicht vor solchen Massenangriffen schützen und Apple habe auch lange nichts gegen die verwendeten Lücken getan. Doch bereits kurz nach Bekanntwerden der Angriffe kamen die ersten Fragen auf. Üblicherweise werden solche Angriffe nur sehr gezielt auf bestimmte Systeme und Geräte angewendet – nicht aber auf Millionen Geräte. Die Lücken sind einfach zu wertvoll, um sie in der Masse zu verschleudern. Die Motivation hinter der größeren Anwendung der Lücken, die eine Entdeckung zumindest vereinfacht hat, bleibt unbekannt. Primär waren die Angriffe wohl gegen iPhone-Nutzer unter den Uiguren gerichtet – der größten turksprachige Ethnie im chinesischen Uigurischen Autonomen Gebiet Xinjiang. China wird schon länger die Verfolgung und Umerziehung der uigurischen Minderheit und das Vorgehen gegen Oppositionelle vorgeworfen.

Nun hat Apple mit einem Statement auf die von Google unterschwellig gemachten Vorwürfe, das Problem zu lange ignoriert zu haben, reagiert.

Demnach sei der Angriff keinesfalls breit gestreut und auf Millionen Geräte gezielt gewesen.

"First, the sophisticated attack was narrowly focused, not a broad-based exploit of iPhones “en masse” as described."

Auch in der Dauer, in der iPhone-Nutzer den Angriffen ausgesetzt gewesen sein sollen, sind sich Google und Apple nicht einig. Googles Project-Zero-Team machte die Erkenntnisse in der vergangenen Wochen publik – fast sechs Monate, nachdem Apple die Sicherheitslücken geschlossen hat. Dennoch suggeriere Google laut Apple, dass die Lücken bis zuletzt offen standen. Dem sei nicht so.

"Google’s post, issued six months after iOS patches were released, creates the false impression of “mass exploitation” to “monitor the private activities of entire populations in real time,” stoking fear among all iPhone users that their devices had been compromised. This was never the case. (...) We fixed the vulnerabilities in question in February — working extremely quickly to resolve the issue just 10 days after we learned about it. When Google approached us, we were already in the process of fixing the exploited bugs."

Man nehme die Sicherheit der Geräte sehr ernst und arbeite auch in Zukunft daran, seiner Verantwortung in dieser Hinsicht gerecht zu werden – so Apple abschießend. Sicherheit sei immer ein fließender Prozess, da es immer wieder neue Erkenntnisse in dieser Hinsicht gibt.