Ist die angebliche Sicherheitslücke in Apple Mail gar keine?
In der zurückliegenden Woche wurde eine als „groß“ deklarierte Sicherheitslücke in Apple Mail durch das Sicherheitsunternehmen ZecOps öffentlich gemacht. Apple hat sich inzwischen zu Wort gemeldet und verkündet, diese sei nicht so schlimm wie befürchtet – mehr dazu hier bei uns.
ARD, ZDF & Co. übernahmen ungeprüft die BSI-Aussagen
Inzwischen haben aber selbst Tagesthemen und heute-Journal größtenteils unkritisch in langen Beiträgen über die angebliche Gefahr berichtet. Selbst das BSI (Bundesamt für Sicherheit in der Innovationstechnik) sah sich genötigt, vor Apple Mail zu warnen. Ungeprüft sprangen ARD, ZDF und fast alle anderen Medien auf den Zug auf.
Experten bezweifeln, dass Hacks möglich sind
Das Blatt könnte sich aber alsbald wenden: Unabhängige Sicherheitsforscher geben laut einem Bericht von ArsTechnica nun an, von den ursprünglich vorgelegten Beweisen nicht überzeugt zu sein. Sie gehen davon aus, dass es sich mehr um ein reproduzierbares Abstürzen lassen der App als um eine kritische Sicherheitslücke handelt.
Auch wird kritisiert, dass nicht genügend Details zu einer Ausnutzung der Lücke, wie Remote Code Execution, genannt werden. Die Frage, ob die Lücke tatsächlich ausgenutzt wurde oder nicht, bleibt noch unbeantwortet.
Apple dementiert das nach weitreichenden Untersuchungen scharf. Kein einziger Fall sei bekannt, bei dem User kompromittiert worden sein.
Salami-Taktik der Enthüller von ZecOps
Die Entdecker des Problems geben an, Hinweise darauf zu haben. Sobald Apple ein Bugfix-Update herausbringe, wollen sie weitere Informationen veröffentlichen.
Auch diese unübliche Vorgehensweise, Erkenntnisse nicht sofort zu teilen, wird von Apple (und Branchenexperten) verwundert aufgenommen.