Categories: Mobile

iOS 12.1.4 behebt Facetime-Bug

Mit iOS 12.1.4 und einem Server-Patch behebt Apple einen Fehler in seiner Chat-Software Facetime (CVE-2019-6223). Der Bug erlaubte es unter Umständen, beliebige Personen per FaceTime anzurufen und eine aktive Audioverbindung herzustellen, noch bevor der Angerufene das Gespräch angenommen hat. Das iPhone des Angerufenen wurde damit zu einem Abhörgerät. iOS 12.1.4 steht für iPhones ab Version 5S zur Verfügung. Auch die Tablets ab iPad Air erhalten das Update.

iOS 12.1.4 behebt des Weiteren Schwachstellen in den Komponente Foundation (CVE-2019-7286), IOKit (CVE-2019-7287) und Live Photos (CVE-2019-7288). Letztere steht in Zusammenhang mit dem Facetime-Bug. Weitere Details zu den Fehlern sind nicht bekannt.

Der Facetime-Fehler steckte offenbar nicht in der Client App, sondern in einer serverseitigen Software. Auf seinen Servern hatte Apple kurz nach Veröffentlichung der Schwachstelle auch die Gruppenanrufe gesperrt.

„Wir haben die Gruppen-Facetime Sicherheitslücke auf Apples Servern geschlossen und werden ein Software-Update herausgeben, um die Funktion nächste Woche für Benutzer wieder zu aktivieren“, teilte Apple am vergangenen Freitag mit. „Wir danken der Thompson-Familie für die Meldung des Fehlers. Wir entschuldigen uns aufrichtig bei unseren betroffenen Kunden und allen, die sich Sorgen um dieses Sicherheitsproblem gemacht haben. Wir schätzen die Geduld aller, während wir diesen Prozess abschließen.“

Apple betonte zudem, es habe sofort nach Erhalt der Meldung versucht, den Fehler nachzuvollziehen. Außerdem habe man unverzüglich die Gruppen-Funktion abgeschaltet und mit der Arbeit an einem Fix begonnen. Das Unternehmen räumte aber auch ein, dass das Meldeverfahren für solche Anfälligkeiten verbessert werden müsse, um schneller die richtigen Ansprechpartner zu erreichen.

Vor einer Woche war aufgedeckt worden, dass Nutzer ohne viel Aufwand andere Nutzer ausspionieren können, indem sie einen Facetime-Anruf und unmittelbar danach die Gruppen-Funktion starten. Fügte der Nutzer an der Stelle sich selbst zur Gruppe hinzu, wurde auf dem Geräte des Angerufenen das Mikron aktiviert – noch bevor dieser das Gespräch annehmen oder abweisen konnte.

US-Abgeordnete wollen Details wissen

Der Fall schlug in den USA hohe Wellen und hat einige Abgeordnete dazu bewogen, Apple-CEO einen Brief zu schreibem. Darin (PDF) forderten sie Apple-CEO Tim Cook auf, bis zum 19. Februar Fragen über Apples Reaktion auf die Fehlermeldung zu beantworten. „Als ersten Schritt halten wir es für wichtig, dass Apple transparent über seine Untersuchung der Group-FaceTime-Schwachstelle und die Schritte zum Schutz der Privatsphäre der Verbraucher informiert“, heißt es in dem Brief. „Bis heute glauben wir nicht, dass Apple so transparent war, wie es dieses ernste Problem erfordert.“

Unter anderem möchte der Ausschuss wissen, ob Apple schon vor der Meldung von Thompsons Mutter von dem Fehler wusste, und wenn ja, seit wann. Zudem soll Apple einen Zeitplan vorlegen, der über alle Maßnahmen informiert, die Apple nach Kenntnis des Fehlers eingeleitet hat. Der iPhone-Hersteller soll aber auch darlegen, wie er seine Produkte auf mögliche Schwachstellen testet, bevor sie in den Handel kommen. Unklar ist den Abgeordneten zufolge zudem, warum Apple nach Erhalt der Meldung die Gruppenfunktion von FaceTime nicht früher abgeschaltet hat.

Darüber hinaus soll Apple erklären, ob es plant, Verbraucher über mögliche Verletzungen ihrer Privatsphäre zu informieren und zu entschädigen, die durch den Fehler ausgelöst wurden. Apple soll außerdem offenlegen, ob es von Bugs mit ähnlich weitreichenden Folgen bereits Kenntnis hat.

In der vergangenen Woche war bekannt geworden, dass die Ende Oktober eingeführte Funktion Gruppen-FaceTime fehlerhaft ist und wahrscheinlich über einen Zeitraum von fast drei Monaten das Abhören nahezu beliebiger Personen ermöglichte. Wurde während des Aufbaus eines FaceTime-Anrufs ein Gruppenchat gestartet, aktivierte sich auf dem Gerät des Angerufenen automatisch das Mikrofon – auch wenn der Anruf noch nicht entgegen genommen wurde. Unter Umständen aktivierte der Angerufene sogar ohne sein Wissen die Frontkamera seines iPhones oder iPads.

Apple räumte indes Mängel bei der Verarbeitung von Fehlerberichten ein und kündigte Verbesserungen an. In einer Stellungnahme betonte das Unternehmen zudem, es habe die Gruppenfunktion serverseitig deaktiviert, nachdem seine Techniker alle Details erhalten hätten, um den Fehler nachzuvollziehen. Ein Patch, der die gesperrte Gruppenfunktion wieder freischaltet, soll noch im Lauf dieser Woche erscheinen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago