Sicherheitsforscher: Apple ignoriert Warnungen

Ein deutscher Sicherheitsforscher hat sich auf der Full-Disclosure-Mailingliste bei Seclists.org beschwert, weil Apple einen ihm zugegangenen Hinweis zu einer Cross-Site-Scripting-Lücke seit einem Monat ignoriert. Der Fehler finde sich weiter auf einer Apple-Store-Seite, schreibt Stefan Schurtz.

Schurtz verständigte Apple in einer Mail vom 12. Mai und erhielt am Folgetag eine Eingangsbestätigung. Zuvor hatte er die Anfälligkeit mit Internet Expolrer 8 und 10 sowie Google Chrome 27 getestet. Am 29. Mai hakte er noch einmal nach, was auch beantwortet wurde. Nach Wochen, in denen nichts passierte, hat er sich jetzt entschieden, die Anfälligkeit öffentlich zu machen.

Das Proof-of-Concept des Sicherheitsspezialisten basiert auf dem Document Object Model (DOM). Es versucht, clientseitigen Javascript-Code im Browser eines Besuchers auszuführen. So könnten Cookies entführt und auch Konten übernommen werden, falls der Anwender eingeloggt ist. Ein Beispiel des Web Application Security Consortium führt dies im Detail aus.

Apple wurde schon früher für seine oft langsame Reaktion auf Sicherheitshinweise gerügt. Auch im Fall des Trojaners Flashback zögerte es lange, und viele seiner Kritiker fordern ein Belohnungsprogramm, wie Google oder Facebook sie aufgesetzt haben. Dies würde Sicherheitsforscher ermutigen, Apple auf Lücken hinzuweisen – ist aber sinnlos, wenn Apple die Bereitschaft fehlt, eingehende Hinweise auch zu bearbeiten.

Gegenüber TechWeek sagte Microsoft Most Valuable Professional Troy Hunt: „Viele andere Firmen würden Sie dafür bezahlen, wenn Sie Lücken wie diese finden, und das Problem sofort aus der Welt schaffen.“ Er halte aber ein Prämienprogramm für „unvereinbar mit Apples Ethos der Geheimhaltung“. Manchmal sei es schwer, Firmen etwas zu kommunizieren, was eigentlich in ihrem eigenen Interesse liege.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.