> > > > Schwere Sicherheitslücke in FaceTime ermöglicht das Abhören anderer

Schwere Sicherheitslücke in FaceTime ermöglicht das Abhören anderer

Veröffentlicht am: von

ios12-2In iOS 12 ist eine gravierende Sicherheitslücke aufgetaucht, die es über einen FaceTime-Anruf möglich macht, das Mikrofon eines entfernten Gerätes abzugreifen. Dazu muss nur ein FaceTime-Anruf an das Zielgerät getätigt werden. Die Übertragung des Audios beginnt, bevor die angerufene Person den Anruf akzeptiert oder abgelehnt hat. Der Angerufene kann nicht erkennen, ob bereits eine Audioübertragung stattfindet oder nicht.

Betroffen sind alle Geräte ab iOS 12.1 – sowohl iPhones als auch iPads. Der Fehler scheint in der Umsetzung von Gruppenanrufen von FaceTime zu liegen. Apple hat diese Funktion inzwischen abgeschaltet und will bis Ende der Woche ein Update für iOS veröffentlichen, welches die Sicherheitslücke schließt.

Reproduziert werden kann der Bug wie folgt:

  • FaceTime-Anruf mit dem Kontakt starten, dessen Mikrofon angezapft werden soll
  • auf einem iPhone oder iPad von unten nach oben wischen und einen Kontakt zum Anruf hinzufügen
  • die eigene Rufnummer hinzufügen
  • es wird ein FaceTime-Gruppenanruf gestartet, in dem sich die angerufene Person sowie man selbst befindet

Auch wenn die angerufene Person den Anruf noch nicht akzeptiert oder abgelehnt hat, ist bereits das Audio von der Gegenstelle zu hören. Einzig durch ein Ablehnen des Anrufs wird die Übertragung dann beendet. Es kann allerdings dazu kommen, dass die FaceTime-Benutzeroberfläche gänzlich verschwindet und der angerufenen Person damit keinerlei Möglichkeit gegeben wird, darauf zu reagieren.

Offenbar ist es sogar möglich, dass auch die Kamera für den Videoanruf in der Gegenstelle aktiviert wird. Dies geschieht dann, wenn die angerufene Person den Ein/Ausschalter betätigt, um den Anruf sozusagen stummzuschalten bzw. zu ignorieren. 

Derzeit einzige Gegenmaßnahme ist das Abschalten von FaceTime, was allen iPhone- und iPad-Nutzern empfohlen wird. Apple hat den Bug bereits bestätigt und will bis Ende der Woche ein Update für iOS veröffentlichen. Zudem ist es nun nicht mehr möglich, eine dritte Person einem FaceTime-Anruf hinzuzufügen.

Das Abhören eines entfernten Mikrofons und nich viel schlimmer die mögliche Übertragung des Kamerabildes stellen eine schwerwiegende Lücke im System dar. Gerade ein Unternehmen wie Apple, das in der Außendarstellung immer auf die Sicherheit der personenbezogenen Daten hinweist, verliert damit viel an seiner Glaubwürdigkeit. Vieles wird nun darauf ankommen wie schnell und vor allem in welcher Form Apple darauf reagiert. Die Lücke im FaceTime-Service scheint geschlossen zu sein, ein iOS-Update soll die Lücke auch auf Seite der Clients schließen, doch es wird sicherlich auch darum gehen solche Lücken zukünftig grundsätzlich zu vermeiden. Komplexe Software ist aber immer anfällig für Fehler, wenngleich diese in der Benutzeroberfläche und dem Lockscreen bei iOS schon häufiger derartige Probleme machte.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (11)

#2
customavatars/avatar35599_1.gif
Registriert seit: 20.02.2006
Göttingen
Vizeadmiral
Beiträge: 7421
Stimmt das macht Android besser. Bei denen werden Fehler nicht kommuniziert oder gefixt. Statt dessen bringen Sie einfach ein neues Telefon raus, weil das alte keine Updates bekommt.
#3
customavatars/avatar236838_1.gif
Registriert seit: 08.12.2015

Gefreiter
Beiträge: 39
Nicht cool, Apple! Das gefällt mir immer weniger, was da abgeliefert wird.
Solange jedoch schnell gepatched und die Fehler beseitigt werden, für mich eher uninteressant, da ich FaceTime wirklich sehr selten benutze - wenn überhaupt.

Auch wenn ich ein Freund von iOS bin, muss ich gestehen, dass sich Apple in letzter Zeit wenig mit Ruhm bekleckert. Wenn das so weitergeht, kann/wird das ziemlich nach hinten losgehen.
#4
Registriert seit: 28.01.2016

Leutnant zur See
Beiträge: 1278
Zitat RichieMc85;26772270
Stimmt das macht Android besser. Bei denen werden Fehler nicht kommuniziert oder gefixt. Statt dessen bringen Sie einfach ein neues Telefon raus, weil das alte keine Updates bekommt.


Wenn eine App wie FaceTime Audio überträgt ohne dass das Gespräch angenommen wurde, ist das ein massives Problem - und es ist völlig egal was Android/MS oder sonstwer macht, das hat damit nichts zu tun. Die eigentlich Frage ist, wurde hier enorm fahrlässig entwickelt, oder nutzt der Bug eine art Backdoor.
#5
customavatars/avatar35599_1.gif
Registriert seit: 20.02.2006
Göttingen
Vizeadmiral
Beiträge: 7421
Meine Aussage bezog sich auf den Kommentar über mir, wo offensichtlich war was impliziert wurde. Mir ist lieber das solche Sachen offen kommuniziert werden. Bei Android passiert das ja eher selten. Oder ist Android einfach viel sicherer :)
#6
Registriert seit: 01.05.2007

Korvettenkapitän
Beiträge: 2543
Bei Android gibt es rel. häufig Sicherheitsupdates, i.d.R. monatlich wie bei Windows.
Das große Problem dabei ist aber, das eigentlich kein Smartphonehersteller diese für seine Geräte zeitnah zur Verfügung stellt.
#7
customavatars/avatar166338_1.gif
Registriert seit: 11.12.2011
NRW
Flottillenadmiral
Beiträge: 4694
Zitat RichieMc85;26772398
Meine Aussage bezog sich auf den Kommentar über mir, wo offensichtlich war was impliziert wurde. Mir ist lieber das solche Sachen offen kommuniziert werden. Bei Android passiert das ja eher selten. Oder ist Android einfach viel sicherer :)


Nein, da wurde nichts impliziert. Aber wenn du schon so kommst: Was andere Hersteller mit dem quelloffenen und frei modifizierbaren Betriebssystem "Android" machen geht mir am Arsch vorbei. Wenn Apple jetzt meint iOS Open Source zu machen und irgendwelche Chinesen damit dann Scheiße anstellen, dann ist das auch nicht iOSs Schuld. Ich hab ein Google Pixel 2 XL, ein Telefon vom Entwickler des Betriebssystems, so wie du ein (aha, das erklärt einiges...) Apple iPhone XS Max hast, ein Telefon vom Entwickler des Betriebssystems "iOS". Ich bekomme jeden Monat Sicherheitsupdates und die neuste Android-Version. Bei Android kann ich mich an keine große Sicherheitslücke erinnern, die nicht unrealistisch schwer ausnutzbar gewesen wäre, und das obwohl das Betriebssystem Open Source ist und sich jeder den Scheiß, den Google macht, anschauen kann. Bei iOS gab es in den letzten Monaten und Jahren so viele Lücken, bei denen man die Bildschirmsperre umgehen konnte, die Kontakte eines gesperrten Gerätes einsehen konnte oder halt diesen Bug hier. Wenn sowas mal passiert, dann passiert es halt. Kein System ist vollkommen sicher, auch nicht Android. Aber was Apple hier gerade für ne Shitshow abliefert, da würde ich mich schon unwohl fühlen ein iOS-Gerät in der Hosentasche mitzuschleppen. Just my two cents.
#8
customavatars/avatar246936_1.gif
Registriert seit: 06.03.2016

Leutnant zur See
Beiträge: 1274
Zitat Fallwrrk;26772678
.... sich jeder den Scheiß, den Google macht, anschauen kann. ....


Dafür kann sich Google auch jeden Scheiß den du machst anschauen. Ganz ehrlich, wie Google Nutzer (ich hab selber nen G-Mail Account) auf die Idee kommen anderen Leuten Vorträge über Sicherheit und Privatsphäre zu halten....ich verstehs nicht.
#9
customavatars/avatar283_1.gif
Registriert seit: 03.07.2001
127.0.0.1
Admiral
Altweintrinker
Beiträge: 25463
Zitat RichieMc85;26772398
Meine Aussage bezog sich auf den Kommentar über mir, wo offensichtlich war was impliziert wurde. Mir ist lieber das solche Sachen offen kommuniziert werden. Bei Android passiert das ja eher selten. Oder ist Android einfach viel sicherer :)

Deine Aussage bezüglich der Kommunikation von Sicherheitslücken ist kompletter Unsinn.

Android Security Bulletins Android Open Source Project

Mal ganz davon abgesehen, dass "Android" keine Telefone baut.
#10
customavatars/avatar166338_1.gif
Registriert seit: 11.12.2011
NRW
Flottillenadmiral
Beiträge: 4694
Zitat Ali G;26773070
Dafür kann sich Google auch jeden Scheiß den du machst anschauen. Ganz ehrlich, wie Google Nutzer (ich hab selber nen G-Mail Account) auf die Idee kommen anderen Leuten Vorträge über Sicherheit und Privatsphäre zu halten....ich verstehs nicht.


Ich hab n Vortrag über Sicherheit und Privatsphäre gehalten? Wann? Wo? Möchtest du, dass ich dir erkläre was Open Source bedeutet?
#11
Registriert seit: 05.12.2010

Flottillenadmiral
Beiträge: 5481
Zitat Fallwrrk;26773524
Ich hab n Vortrag über Sicherheit und Privatsphäre gehalten? Wann? Wo? Möchtest du, dass ich dir erkläre was Open Source bedeutet?

So ganz Open Source ist Android nicht. Viele Google Apps und Dienste sind meist vorinstalliert und Chrome ist proprietär. Ja Chrome basiert auf Chromium, aber welche Codezeilen zusätzlich in Chrome enthalten sind, weiß man nicht. Viele Binary Blobs also und auch in Linux-Distributionen sind manche Blobs (nicht auf google bezogen) enthalten.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Screen Sketch: Windows 10 erhält neues Screenshot-Tool

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Was bei Smartphones in Sekundenschnelle möglich ist, dauert mit Windows-Bordmitteln gerne etwas länger: Das Erstellen eines Screenshots sowie dessen Versand. Mit Redstone 5 könnte sich das aber ändern. Denn Microsoft hat über den Windows-10-Fast-Ring eine neue Testversion verteilt, die... [mehr]

  • Windows 10: Spring Creators Update kommt als Version 1803

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Microsoft wird für Windows bald ein neues Update veröffentlichen. Das Update mit dem Codenamen Redstone 4 wird von Microsoft inzwischen auch als Versionsnummer 1803 geführt und soll einige Verbesserungen mitbringen. Das sogenannte Spring Creators Update soll nach derzeitigen Planungen im April... [mehr]

  • Microsoft stoppt Windows 10 April 2018 Update für einige PCs mit Intel-SSD...

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Nur Stunden nach dem Start des Rollouts des Windows 10 April Update hat Microsoft einen schwerwiegenden Fehler entdeckt. Der Kreis der Betroffenen dürfte aber klein sein. Denn nur in Verbindung mit bestimmten SSDs aus dem Hause Intel kommt es zu Problemen. Eine Lösung gibt es allerdings noch... [mehr]

  • Windows 10: April-Update wird ab dem 8. Mai ausgerollt

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Eigentlich hätte die Veröffentlichung des unter dem Codenamen Redstone 4 laufenden Spring-Creators-Update schon zu Beginn des Monats erfolgen sollen, aufgrund eines schwerwiegenden Fehlers aber musste Microsoft das Update in letzter Sekunde zurückziehen. Wie der Softwareriese zum Wochenende... [mehr]

  • Unsere Community ist gefragt: Verbessert das April-Update die Performance?

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Seit Montag kann das April-Update von Windows 10 über die Update-Funktion heruntergeladen und installiert werden. Automatisch angestoßen wird das Update jedoch erst ab dem 8. Mai und damit ab kommenden Dienstag. Ursprünglich war das auch als Spring Creators Update bekannte Update für Anfang... [mehr]

  • Apple iOS 12 legt Fokus auf Performance und Achtsamkeit

    Logo von IMAGES/STORIES/2017/IOS12

    Während in Taipei gerade die Computex 2018 ihre Pforten öffnet, hat am Montagabend auch Apple seine Eröffnungs-Keynote zur diesjährigen WWDC-Entwicklerkonferenz abgehalten und seine Pläne für die nächste Betriebssystem-Generationen offengelegt. iOS 12 wird unter der Haube einige Änderungen... [mehr]