Interview
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Nach einem Hinweis von watson wurde eine Schwachstelle in der iOS-Software geschlossen, die hunderte Millionen Geräte weltweit betraf. screenshot/bildmontage apple.com / watson

Interview

watson stösst auf gravierende iPhone-Sicherheitslücke – so reagiert Apple

Nicht so viel wie sechs Richtige im Lotto, aber einen schönen Batzen Geld, bringen sogenannte Exploits für Apple-Software ein, wenn man sie im Darknet verkauft. watson hat sich für den ehrlichen Weg entschieden.



Anfang November berichtete watson über ein WhatsApp-Video, das iPhones in Serie abstürzen liess. Der Schweizer IT-Sicherheitsexperte Marc Ruef und seine Kollegen von der Scip AG nahmen den verdächtigen Clip unter die Lupe und wiesen Apple auf die Schwachstelle hin, die fast alle iOS-Geräte betraf.

Kürzlich hat Apple die Sicherheitslücke mit dem Software-Update iOS 10.2 geschlossen. watson hat nachgehakt ... 

Herr Ruef, Sie haben mit anderen IT-Sicherheitsexperten der Scip AG das fehlerhafte Video untersucht. Wie gravierend ist bzw. war die Sicherheitslücke aus Ihrer Sicht?
Marc Ruef: Destruktive Angriffe, bei denen Software zum Absturz gebracht werden kann, sind in der Regel eher unspektakulär. In diesem Zusammenhang war es aber interessant zu sehen, dass nicht nur die betroffene App, sondern das ganze Gerät zum Absturz gebracht werden kann. Dadurch erschliesst sich ein Mehr an Möglichkeiten, wodurch die Schwachstelle für einen weiten Kreis von Angreifern interessant wird.

Kommt so etwas häufig vor?
Wir werden dafür bezahlt, Schwachstellen in Systemen zu finden und stehen deshalb regelmässig mit verschiedenen Herstellern in Kontakt. Schliesslich sind wir alle darum bemüht, dass Schwachstellen geschlossen und damit die Qualität von Software verbessert werden kann.

«Unserem Berechnungsmodell zur Folge hätten durchaus 25'000 US-Dollar drin liegen können.»

Nun hat Apple die Sicherheitslücke mit dem neusten Software-Update (iOS 10.2) laut Ankündigung geschlossen. Ist damit alles in Butter?
Wir konnten das Problem im Grafiktreiber in der ursprünglichen Form nicht mehr nachvollziehen. Grafiktreiber sind heutzutage sehr komplex und es ist als Aussenstehender schwierig zu sagen, ob nicht eine Variante des Angriffs oder ein anderweitiges Problem verbleibt. Die 100-prozentig fehlerfreie und damit sichere Software gibt es praktisch nicht.

Aus Sicht des Laien war ja eindrücklich, dass das Video alle möglichen iOS-Geräte, respektive auch ältere Software-Versionen bis hinunter zu iOS 5 abstürzen liess. Kommen solche generellen Software-Fehler häufig vor?
Wir beobachten die Auswirkungen verschiedener Angriffstechniken sehr genau. Oftmals betreffen diese eine bestimmte Plattform oder Generation eines Produkts. Dass hier tatsächlich eine solch weitreichende Wirkung zu beobachten war, ist eher unüblich. Dies zeugt davon, dass der betroffene Code seit Generationen durch Apple eingesetzt wird. Bei Apple ging man also davon aus, dass er sich bewähren würde.

Einige internationale Medien verlinkten korrekt auf die watson-Story

Bild

screenshot: businessinsider.de

Es ist üblich, dass Apple die Hinweisgeber, die das Schliessen von gefährlichen Schwachstellen ermöglichen, im sogenannten Advisory namentlich erwähnt. Warum hat das zunächst nicht geklappt?
Wir hatten uns nach Rücksprache mit watson direkt bei Apple gemeldet, um sie bei der Behebung des Problems zu unterstützen. Mit dem Erscheinen der neuen iOS-Version haben wir das Advisory zugestellt bekommen, dass unser Problem behoben worden sei. Dass in der ersten Fassung eine namentliche Erwähnung ausblieb, ist schlichtweg auf ein Ungeschick zurückzuführen: Man hat es seitens Apple einfach vergessen.​

Bild

screenshot: apple.com

Nun hat Apple reagiert und gibt die «Credits» für das Melden der Schwachstelle uns sowie einer weiteren Person (siehe Screenshot oben). Dürfen wir uns nun auf eine Belohnung freuen?
Apple hat tatsächlich diesen September ein «Bug Bounty»-Programm ins Leben gerufen: Researcher werden finanziell entlöhnt, wenn sie eine Schwachstelle melden. Momentan ist dies aber nur auf Einladung von Apple hin möglich. Und die Schwachstelle muss gewisse Anforderungen erfüllen. In diesem Fall gehen wir alle leider leer aus.

Was wäre die Schwachstelle wohl auf dem Schwarzmarkt wert gewesen? 😉
Exploits für iOS-Geräte erzielen auf dem Schwarzmarkt momentan die besten Preise. Unserem Berechnungsmodell zur Folge hätten durchaus 25'000 US-Dollar drin liegen können. Sofern denn jemand Interesse daran gehabt hätte.

Umfrage

Was hättest du getan?

  • Abstimmen

2,077

  • 💰💰💰💰💰💰💰42%
  • Ehrlich währt am längsten 😒40%
  • Gar nix 🐒17%

Das Interview wurde schriftlich geführt.

So erklärte das «Time»-Magazin das Internet

Das könnte dich auch interessieren:

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel

Biden, Warren oder Sanders? Das Rennen der Demokraten wird zum Dreikampf

Link zum Artikel

Jack Ma tritt als Alibabas Vorsitzender offiziell zurück, aber ...

Link zum Artikel

Das sind die 50 besten Spieler in «FIFA 20» – Piemonte Calcio zweimal in den Top 15

Link zum Artikel

12 neue Serien, auf die du dich im Herbst freuen kannst

Link zum Artikel

In China sind gerade 100 Millionen Schweine gestorben – das musst du wissen

Link zum Artikel

Hat Bill Gates ein schmutziges Geheimnis?

Link zum Artikel

In Jerusalem verschwinden hunderte Katzen auf mysteriöse Weise – was ist bloss los?

Link zum Artikel

«... dann laufen sie hier 3 Tage besoffen mit geklauten Stadion-Dingen rum»

Link zum Artikel

Mit 16 der jüngste Torschütze in Barças Klub-Geschichte – 8 Fakten zu Ansu Fati

Link zum Artikel

Boris Johnson verliert wegen eines Überläufers die Mehrheit und ist jetzt in argen Nöten

Link zum Artikel

Erneut wüste Szenen bei Protesten in Hongkong

Link zum Artikel

Xherdan Shaqiris Alleingang ist ein fatales Zeichen

Link zum Artikel

Auch Android und Windows von massivem Hackerangriff betroffen – was wir bislang wissen

Link zum Artikel

«Diese Wahlen widerlegen eine oft genannte These über die AfD»

Link zum Artikel

Wawrinka über Djokovic: «Dass er den Platz so verlassen muss, ist natürlich nicht schön»

Link zum Artikel

«Soll ich die offene Beziehung mit dem 10 Jahre Älteren beenden?»

Link zum Artikel

Messi darf Barça ablösefrei verlassen +++ Pa Modou wieder beim FC Zürich

Link zum Artikel

Kim Tschopp zeigt den grossen Unterschied zwischen Realität und Instagram

Link zum Artikel

Wie viel Schweizer Parteien auf Facebook ausgeben – und warum wir das wissen

Link zum Artikel

Der Roadie, der mich Backstage liebte (und mir biz Haare ausriss)

Link zum Artikel

Für Huawei kommts knüppeldick – neue Handys müssen auf Google-Apps verzichten, sagt Google

Link zum Artikel

Die Hockey-WM lehnt den «Eisenbahn-Deal» ab – und das ist schlicht lächerlich

Link zum Artikel

Netflix bringt 10 Filme in die Kinos – und die hören sich grossartig an

Link zum Artikel

Verrückt, aber wahr – Stuckis Sieg, der keiner war

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

9
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
9Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • You will not be able to use your remote control. 17.12.2016 11:38
    Highlight Highlight 'Grafiktreiber sind heutzutage sehr komplex und es ist als Aussenstehender schwierig zu sagen, ob nicht eine Variante des Angriffs oder ein anderweitiges Problem verbleibt.'

    Das liegt nicht an der Komplexität des Grafiktreiber, sondern am Lizenz Modell von Apple. Wäre dieser Open Source, gäbe es keine Aussenstehende.

    Der Fehler wäre nicht unbedingt verhindert, aber schneller und nachhaltiger behoben worden.
  • Azrael 16.12.2016 22:51
    Highlight Highlight Für alle anderen Nerds da draussen: the Link.
    https://support.apple.com/de-de/HT207422
    Zu finden unter 'Graphics Driver'.

    Sogar die URL watson.ch ist (nun) aufgeführt, ein kleiner Ritterschlag! Gratuliere. 👍
  • Donald 16.12.2016 16:48
    Highlight Highlight Mein iPhone crasht ab und zu mal. Werde ich jetzt reich?
  • Tilman Fliegel 16.12.2016 16:24
    Highlight Highlight Apple ist halt nicht auf Rosen gebettet. Da können sie doch nicht jeden bezahlen, der einen Bug meldet.
  • Jol Bear 16.12.2016 16:11
    Highlight Highlight Ja, was war denn nun eure eigentliche Absicht? Die Schwachstelle finden und melden, weil es dann cash und gratis Werbung im Advisory gibt. Oder etwas Gutes tun und andere von Schaden bewahren, aus Überzeugung? Sieht eher nach der ersten Variante aus. Tut auch mal gut, wenn die Rollen anders verteilt sind und man den "ehrenwerten Journalisten" Finanzoptimierung vorwerfen kann ;-)
    • @schurt3r 16.12.2016 16:25
      Highlight Highlight Also: Wir sind wie die Jungfrau zum Kind zu der Schwachstelle gekommen ;-)

      Und unsere Absichten waren immer rein und klar. Darum haben wir das Video auch nur an wenige ausgewählte Spezialisten weitergegeben.

      PS. Geld haben wir – wie im Interview erwähnt – nicht bekommen.
  • Padi Engel #Kanngarnix 16.12.2016 16:04
    Highlight Highlight Was hättest du getan?:
    [ ] 💰💰💰💰💰💰💰
    [ ] ehrlich bla bla 😒
    [ ] Gar nix 🐒
    [X] ein Samsung (oder irgend ein anderes Android-Gerät) gekauft :D
    • @schurt3r 16.12.2016 16:08
      Highlight Highlight ...
      Benutzer Bildabspielen
    • Gustav.s 16.12.2016 16:16
      Highlight Highlight Was hättest du getan?:
      [x] 💰💰💰💰💰💰💰
      [ ] ehrlich bla bla 😒
      [ ] Gar nix 🐒
      [X] ein Samsung (oder irgend ein anderes Android-Gerät) gekauft.

      Naja, leider fehlten mir aber für die erste Möglichkeit die Kontakte und der Mut (?). Obwohl ich durchaus auch im Dunklen Netz unterwegs bin.

Diese wichtige Handy-Funktion kann dein Leben retten – 68% der Schweizer kennen sie nicht

Zwei Drittel der Schweizer haben keine Ahnung, wie man rasch per Tastenkombination mit dem Handy einen Notruf absendet. Die internationale Notrufnummer kennen rund 40 Prozent nicht. Damit gefährden sie ihre eigene Rettung und die Rettung anderer.

Smartphones von Apple, Samsung, Huawei, etc. können über eine vom Handy-Hersteller eingerichtete Tastenkombination einen Notruf absetzen. Wer sich in einer Notsituation befindet und die Notrufnummer nicht wählen kann oder sich – beispielsweise im Schockzustand – nicht daran erinnert, kann so trotzdem jederzeit Hilfe rufen.Das Problem: 68 Prozent der Schweizer wissen nicht, wie man auch bei gesperrtem Handy schnell per Tastenkombination einen Notruf absendet. Gar nur eine von fünf …

Artikel lesen
Link zum Artikel