Durch eine iOS-Lücke soll es möglich gewesen sein, über manipulierte Websites iPhones mit Malware zu infizieren und ihre Nutzer umfassend zu überwachen. Das ergab eine Untersuchung des von Google geleiteten Sicherheitsteams "Project Zero".

Nach anhaltender Berichterstattung reagierte Apple nach einer Woche mit einer Stellungnahme. Weil es Beunruhigung unter der eigenen Kundschaft gab, wolle man nun sicherstellen, dass diese über "alle Fakten" verfüge, erklärte man. Doch die folgende Botschaft sorgt nun für noch mehr Kritik, unter anderem aus der Sicherheitscommunity, schreibt Ars Technica.

Google soll "falschen Eindruck" erweckt haben

Man habe die der Gefahr zugrunde liegenden Schwachstellen bereits im Februar repariert, binnen zehn Tage nachdem man davon erfahren hatte. Als man von Google kontaktiert wurde, sei man bereits mitten in der Behebung gewesen. Dem Konzern wirft man vor, mit der Veröffentlichung des Reports ein halbes Jahr später den "falschen Eindruck einer massenhaften Ausnutzung zur Beobachtung privater Aktivitäten ganzer Bevölkerungsgruppen" zu erwecken.

Stattdessen seien die Webseiten, die entsprechend präpariert waren, um die Schwachstellen auszunutzen, nur etwa zwei Monate in Betrieb gewesen, während der Project Zero-Bericht implizieren, dass sie seit zwei Jahren im Netz gewesen wären. Man nehme die Sicherheit der eigenen Kunden "extrem ernst" und die eigenen Experten seien "rund um die Welt immer damit befasst, neue Sicherheitsmaßnahmen zu entwickeln und Schwachstellen zu patchen, sobald sie entdeckt wurden."

Beobachter enttäuscht

Einigen Beobachtern stößt sauer auf, dass Apple in der Stellungnahme einen Aspekt völlig außer Acht gelassen hat. Denn es wurde ebenfalls breit berichtet, dass der Exploit für die Schwachstelle wahrscheinlich von Handlangern der chinesischen Regierung entwickelt wurde und offenbar gezielt zum Einsatz gebracht wurde, um die muslimische Minderheit der Uiguren zu überwachen, die hauptsächlich in der Provinz Xinjiang beheimatet ist.

"Was mich am meisten am heutigen Apple beunruhigt ist, dass sie voll in den chinesischen Markt gehen und sich weigern, etwas zu sagen wie: 'Eine Regierung, die eine ethnische Säuberung anstrebt, hat einen Massenhack gegen unsere User vorgenommen‘'", schreibt etwa der Computerwissenschaftler Nicholas Weaver von der University of California.

Ähnlich sieht das auch Juan Guerrero-Saade, Sicherheitsexperte vom Unternehmen Chronicle, das Googles Mutterfirma Alphabet gehört. "(…) Es war nicht so schlimm und es waren nur Uiguren, also kann es euch egal sein", so der von ihm interpretierte Unterton des Apple-Statements.

Immer wieder Probleme

Ebenfalls keine Aussage getroffen wird von Apple zur Kritik an der eigenen Softwareentwicklung, die sich auch im Project Zero-Report findet. Dort heißt es, dass viele von Project Zero bisher entdeckte Schwachstellen in Apple-Software schon während der Entwicklung hätten auffallen können, wenn man sich dort an gängige Standards in der Qualitätssicherung hielte.

In der jüngeren Vergangenheit war es immer wieder zu größeren Bugs und Sicherheitsproblemen bei Apples Betriebssystemen gekommen. Für Entsetzen sorgte etwa 2017 macOS "High Sierra" mit der Möglichkeit, sich einfach mit dem Nutzernamen "root" ganz ohne Passwort anmelden zu können. (red, 08.09.2019)