Apple hat im Prozess gegen Corellium in erster Instanz eine Niederlage erlitten. Laut Bundesrichter Rodney Smith stellt Corelliums Bereitstellung von virtuellen iPhones keine Urheberrechtsverletzung dar. Vielmehr würde Corellium dadurch die Sicherheit für alle iPhone-Nutzer verbessern, indem es ein Forschungswerkzeug für eine vergleichsweise kleine Anzahl von Kunden bereitstelle und kein konkurrierendes Produkt für Verbraucher geschaffen habe.
In der Klage argumentiert Apple, dass die Produkte von Corellium gefährlich sein könnten, wenn sie in die falschen Hände geraten, weil entdeckte Sicherheitslücken zum Hacken von iPhones genutzt werden könnten. Apple argumentierte auch, dass Corellium sein Produkt wahllos verkauft, eine Behauptung, die Corellium bestritt.
Richter Rodney Smith nannte Apples Argumentation zu diesen Behauptungen „rätselhaft, wenn nicht sogar unaufrichtig.“ Smith stellte fest, dass Corellium einen Überprüfungsprozess anwendet, bevor es seine Produkte an Kunden verkauft.
Die Möglichkeit, iOS-Geräte zu virtualisieren, stellt einen Durchbruch in der iPhone-Sicherheitsforschung dar. Durch die Software des von den Eheleuten Amanda Gorton und Chris Wade 2017 gegründeten Unternehmen Corellium ist es für Sicherheitsforscher nicht nötig, physische iPhones für ihre Forschungen zu verwenden.
Apple war zunächst interessiert an der Lösung und versuchte 2018 Corellium zu übernehmen, wie aus Gerichtsunterlagen hervorgeht. Als die Übernahmegespräche ins Stocken gerieten, verklagte Apple Corellium im vergangenen Jahr und warf der Firma vor, dass seine virtuellen iPhones, die nur die für die Sicherheitsforschung notwendigen Grundfunktionen enthalten, einen Verstoß gegen das Urheberrecht darstelle. Apple behauptete außerdem, dass Corellium für die iOS-Virtualisierung Sicherheitsmaßnahmen umgehe und damit gegen den Digital Millennium Copyright Act verletze. Diese Klage wurde im Prozess nicht abgewiesen.
„Unter Abwägung aller notwendigen Faktoren stellt das Gericht fest, dass Corellium seine Beweislast für die faire Nutzung erfüllt hat“, schrieb Richter Smith in der Verfügung vom Dienstag. „Daher ist die Nutzung von iOS in Verbindung mit dem Corellium-Produkt zulässig.“
Das Urteil gegen Apple wird von vielen Brancheninsidern positiv aufgenommen. „Dies ist ein großer Sieg für Sicherheitsforscher, die sich dafür einsetzen, dass Apple-Geräte sicherer werden“, sagte Will Strafach, ein Sicherheitsforscher gegenüber der Washington Post. „Das ist ein sehr positives Signal, das zeigt, dass es für Apple vielleicht nicht so einfach ist, diejenigen zu schikanieren, die Dinge tun, die Apple nicht gutheißt.“
Matthew Green, Professor für Informatik an der Johns Hopkins University, sagt, dass ein Großteil der Sicherheitsforschung an iOS von Unternehmen durchgeführt wird, die gut finanziert sind und die Zeit und Ressourcen haben, um Apples Beschränkungen zu umgehen. „Diese Leute neigen dazu, nicht die Guten zu sein“, sagte er und bezog sich dabei auf im Untergrund agierende Firmen, die Cyberwaffen an den Meistbietenden verkaufen. Durch Tools wie von Corellium läge die Messlatte niedriger, sodass viele Sicherheitsforscher von kleineren Firmen in der Lage seien, effektiv nach Sicherheitslücken in Apple-Produkten zu suchen und damit die Geräte sicherer würden.
Green verwies auf Non-Profit-Organisationen wie Citizen Lab, die Journalisten und andere, die von solchen Gruppen ins Visier genommen werden, unterstützen. Citizen Lab deckte kürzlich einen mutmaßlichen Angriff auf iPhones von Al-Jazeera-Journalisten auf. Green sagte, er sei froh, dass das Gericht die Klage Apples wegen Urheberrechtsverletzung abgewiesen habe. Ihm zufolge nutzen große Firman das Urheberrecht dazu, „Sicherheitsforschung zu ersticken“.
Alexander Urbelis, ein Partner bei der Blackstone Law Group in New York, sagte, dass die Gerichtsentscheidung vom Dienstag zu mehr Innovation in der Cybersicherheitsforschung führen könnte. „Dieses Urteil ermöglicht es Cybersecurity-Forschern, einzelne Komponenten von Drittanbieter-Software zu virtualisieren und auf Sicherheitslücken zu testen – etwas, das in der Security-Community zum Teil aus Angst vor rechtlicher Haftung gefehlt hat“, sagte er. Urbelis, der früher als Chief Security Officer für die NFL tätig war, sagte, dass die uneingeschränkte Suche nach Schwachstellen“ dabei helfen könnte, große Hacks in der Lieferkette“ zu verhindern, wie man sie kürzlich im Fall von SolarWinds kennengelernt habe.
Als Alternative zu Corellium hat Apple ein Security Device Research Program ins Leben gerufen. Ein Security Research Device ist ein herkömmliches iPhone, das einen Shell-Zugang bietet und es Forschern erlaubt, das iPhone auf Sicherheitslücken zu untersuchen. Die Geräte bleiben Eigentum von Apple und werden jeweils für einen Zeitraum von 12 Monaten zur Verfügung gestellt.
Darüber hinaus verlangt Apple, dass alle Teilnehmer jegliche Sicherheitslücken, die sie finden oder prüfen, an Apple melden. Das gilt auch für von anderen Forschern entdeckte Schwachstellen, die sie lediglich bestätigen sollen. Eine Veröffentlichung dürfe zudem nur zu einem von Apple genannten Termin erfolgen. Apple sagt indes zu, alle Bugs so schnell wie möglich zu beseitigen. Zudem sind alle gefundenen Schwachstellen für eine Belohnung nach Apples Security Bounty Program qualifiziert.
Einige Sicherheitsforscher, darunter auch Googles Project Zero, kündigten bereits an, nicht an dem Programm teilnehmen zu wollen. Sie wollen sich unter anderem nicht der Auflage beugen, dass Apple bestimmt, wann eine Schwachstelle offengelegt wird. Der Google-Mitarbeiter Ben Hawkers vermutet gar, dass diese Regelung gezielt Forscher ausschließen soll, die sich einer Offenlegung von Sicherheitslücken innerhalb von 90 Tagen verpflichtet haben.
„Fristen für eine Offenlegung sind ein Standvorgehen in der Branche. Sie sind notwendig“, sagte der Sicherheitsforscher Axi0mX im Gespräch mit ZDNet USA. „Apple verlangt von den Forschern, dass sie nach dessen Ermessen eine unbegrenzte Zeit warten müssen, bevor sie Fehler offenlegen können, die mit dem Security Research Device Program gefunden wurden. Es gibt keine Frist. Dies ist eine Giftpille.“
Apples Ruf in der Sicherheits-Community ist nicht sehr gut. Ein Vorwurf lautet, dass Apple sein Security Bounty Program nur nutzen soll, um Forscher mundtot zu machen. Per Twitter kritisierte der Sicherheitsforscher Jeff Johnson im April, das Unternehmen habe im Rahmen des im Dezember gestarteten Programms seines Wissens nach noch keine einzige Belohnung ausgezahlt. „Das ist ein Witz. Ich glaube, es geht nur darum, Forscher so lange wie möglich zu Fehlern zum Schweigen zu bringen.“
Eine Offenlegung von Schwachstellen nach einer festgelegten Frist ist umstritten. Sie soll vor allem den Druck auf die Hersteller erhöhen, zeitnah einen Patch bereitzustellen. Schließlich könnten jederzeit auch Cyberkriminelle auf denselben Fehler stoßen und aus einem dem Hersteller bekannten Bug eine Zero-Day-Lücke machen. Gegner einer starren Frist argumentieren indes, dass sich nicht jede Sicherheitslücke fristgerecht beheben lässt und eine Offenlegung vor allem zu Lasten von Nutzern erfolgt.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…