iOS-Schwachstellen: Apple-Stellungnahme im Kreuzfeuer der Kritik

Mit einer „A Message about iOS Security“ überschriebenen Pressemitteilung hat Apple auf den Bericht über schwerwiegende Schwachstellen in iOS reagiert, mit deren Hilfe Apple-Nutzer unbemerkt ausgespäht werden konnten. Die Stellungnahme war als Schuss in Richtung Googles „Project Zero“-Team gedacht, ging jedoch kräftig nach hinten los. Apple hat sich durch eher unüberlegte Sätze massive Kritik auch aus den eigenen Reihen eingehandelt.

Zur Erinnerung: Googles „Project Zero“-Team hat darauf aufmerksam gemacht, dass schwere Sicherheitslücken in den Betriebssystemversionen iOS 10 bis iOS 12.1.4 über Jahre hinweg das Ausspähen der persönlichen Inhalte von iOS-Nutzern ermöglichten, wenn diese zuvor lediglich eine entsprechend manipulierte Webseite besucht hatten. Wie im Nachhinein bekannt wurde, hat sich die chinesische Regierung aktiv dieser Möglichkeiten bedient, um gezielt Mitglieder der dortigen Volksgruppe Uiguren zu überwachen.

Googles „Project Zero“ genießt plattformübergreifend hohe Reputation. Die Sicherheitsforscher sind für hohe Kompetenz und einen verantwortungsbewussten Umgang mit den von Ihnen aufgedeckten Sicherheitslücken bekannt, dazu zählt auch, dass den betroffenen Unternehmen vor einer Veröffentlichung ausreichend Zeit eingeräumt wird, um die entsprechenden Schwachstellen zu beseitigen.

Apple argumentiert unsachlich

Apples Veröffentlichung zielt nun mit teils unsachlichen Argumenten mehr oder weniger offen darauf, die Dokumentation der Schwachstellen als PR-Angriff seitens Google zu diskreditieren und den Sachverhalt klein zu reden. So ist kaum anzunehmen, dass Apples Presseteam der Unterschied zwischen Google als Unternehmen und dem unabhängig arbeitenden Sicherheitsteam „Project Zero“ nicht bekannt ist. Dennoch ist in der Apple Mitteilung unsachlich von „einem von Google veröffentlichten Blog über iOS-Schwachstellen“ die Rede, die Apple längst behoben hätte. Zu Letzterem gilt es anzumerken, dass es unter seriösen Sicherheitsforschen zum guten Ton gehört, Details zu Schwachstellen erst dann zu veröffentlichen, wenn die betroffenen Unternehmen ausreichend Zeit hatten, diese zu beseitigen.

Auch Apples Aussage, der Angriff habe „weniger als ein Dutzend Webseiten betroffen, die sich auf Inhalte im Zusammenhang mit der Gemeinschaft der Uiguren konzentrieren“, scheint unüberlegt und erntet in der Folge massive Kritik. Apple stellt sich nach außen stets als Kämpfer für die Rechte von Minderheiten dar, argumentiere hier aber mit dem Unterton, es handle sich ja nur um ein paar wenige Webseiten, die zudem nur die Uiguren betreffen. Ohnehin gilt es hier anzumerken, dass die Tatsache, dass nur dieser Fall der gezielten Ausnutzung der Schwachstellen bekannt ist keinesfalls bedeutet, dass nicht auch anderweitig davon Gebrauch gemacht wurde.

Apple muss sich die Frage gefallen lassen, warum die Veröffentlichung anstelle unterschwellig gegen Google zu poltern nicht mit konkreten Fakten und zusätzlichen Informationen aufwartet. Insbesondere hätten Kritiker gerne auch die chinesische Regierung als Urheber der bekannt gewordenen Angriffe beim Namen genannt gesehen.

• Der Entwickler Michael Tsai hat die kritischen und teils auch böse enttäuschten Reaktionen einiger namhafter Stimmen aus der Apple-Community zusammengetragen.
• Apples Veröffentlichung lässt sich in voller Länge hier nachlesen, eine deutsche Übersetzung steht bislang noch nicht zur Verfügung.