Sechs IT-Sicherheitsforschern ist es gelungen, grundlegende Schutzmechanismen von Apple außer Kraft zu setzen. Passwörter auf einem Macbook? Sind angreifbar. Daten, die in Apps gespeichert werden? Unbefugter Zugriff durch Dritte ist möglich. Die Absicherung des Appstores umgehen, um eine App hochzuladen, die Schadsoftware enthält? Auch das haben die Forscher hinbekommen, so die Nachrichtenseite The Register. Kurz: Die Lücken sind katastrophal. Die Forscher schildern ihren Fund in einem wissenschaftlichen Paper und sie lassen keinen Zweifel: "Durch unsere Forschung haben wir eine Reihe von Sicherheitslücken mit großer Wirkung entdeckt."
Die Forscher haben nach eigenen Angaben Apple bereits im Oktober 2014 mit ihren Funden konfrontiert. Apple habe sich daraufhin einen Zeitraum von sechs Monaten erbeten, um die Fehler zu beheben. Das ist in der Branche üblich. Firmen soll die Gelegenheit gegeben werden, ihre Produkte abzusichern, damit sie nicht von Kriminellen angegriffen werden können. Apple habe aber nach sechs Monaten nicht mehr reagiert - daher gehen die Forscher nun an die Öffentlichkeit. Das heißt aber auch: Die Apple-Software ist weiterhin angreifbar.
Das Problem liegt den Forschern zufolge in der Art, wie Apps untereinander kommunizieren: In den meisten Fällen überprüfe weder das Betriebssystem noch die fehleranfällige App, wer da genau nach Informationen oder Daten verlange. Man habe 1612 Apps für Mac OS und 200 Apps für iOS untersucht und herausgefunden, dass knapp 89 Prozent der Anwendungen anfällig für Fehler gewesen sind. Den Forschern ist es nach eigenen Angaben gelungen, auf Fotos zuzugreifen, die mit der Messaging-App WeChat aufgenommen wurden. Auch soll es möglich gewesen sein, Notizen zu speichern, für die Nutzer eine App namens Evernote verwendet haben.
Sie haben in mehreren Videos gezeigt, wie sie die Lücken ausnutzen konnten: Ihnen sei es auch gelungen, mehrere Apps, infiziert mit Schadcode, in den Appstore von Apple hochzuladen - die Sicherheitsvorkehrungen wurden also umgangen. Insgesamt sechs Forscher der Indiana University, Peking University und dem Georgia Institute of Technology waren beteiligt. Für Nutzer gibt es momentan keine Möglichkeit herauszufinden, ob sie von dem Angriff betroffen sind.