Apples iOS 12.1.4 behebt einen FaceTime-Fehler, der letzte Woche für Schlagzeilen sorgte.
Apple hat einen großen Fehler in seiner Gruppen-FaceTime-Funktion behoben, der es Anrufern ermöglichte, Personen zu belauschen, die sie angerufen haben, auch wenn sie nie abgehoben haben. Es sagte auch, dass es eine Belohnung an den Teenager zahlen würde, der den Fehler identifiziert hat. Das Update kommt zusammen mit einer Reihe weiterer Korrekturen in der Version iOS 12.1.4.
Der FaceTime-Fehler, CVE-2019-6223, ermöglichte es jedem iOS-Benutzer, andere iOS-Benutzer zu FaceTime zu schalten und ihre privaten Gespräche mitzuhören - ohne dass der Benutzer am anderen Ende den Anruf abweist oder annimmt.
"Das heutige Software-Update behebt den Sicherheitsfehler in der Gruppe FaceTime", sagte ein Apple-Sprecher gegenüber Threatpost. "Wir entschuldigen uns nochmals bei unseren Kunden und danken ihnen für ihre Geduld. Zusätzlich zur Behebung des gemeldeten Fehlers hat unser Team eine gründliche Sicherheitsüberprüfung des FaceTime-Service durchgeführt und zusätzliche Aktualisierungen sowohl der FaceTime-Anwendung als auch des Servers vorgenommen, um die Sicherheit zu verbessern.
Einem Donnerstag-Post, der das Update im Detail beschreibt, zufolge ist diese Schwachstelle auf ein "Logikproblem" bei der Handhabung von FaceTime-Gruppenanrufen zurückzuführen.
"Das Problem wurde mit einer verbesserten staatlichen Verwaltung angegangen", so der Beitrag, der hinzufügte, dass die neueste Version von iOS für das iPhone 5s und später, iPad Air und später und iPod touch 6.
Nachdem der Fehler letzte Woche für Schlagzeilen gesorgt hatte, wurde Group FaceTime vorübergehend deaktiviert. Der Fehler macht von einer neuen Funktion Gebrauch, die in FaceTime als Teil von iOS 12.1 vorgestellt wurde und Group FaceTime heißt. Um den Fehler auszunutzen, können Benutzer zunächst einen FaceTime-Anruf mit einem Kontakt starten, der ebenfalls iOS hat.
Während der Anruf gewählt wird, können sie dann am unteren Rand des Bildschirms nach oben streichen, wodurch das Panel angehoben wird und sie die Möglichkeit haben, "Person hinzuzufügen". Benutzer können dann auf "Person hinzufügen" klicken und ihre eigene Telefonnummer hinzufügen.
Dadurch wird dann ein FaceTime-Anruf gestartet, der den Telefonbenutzer und den Ton des ausgehenden Anrufs enthält - auch wenn die angerufene Person den Anruf noch nicht angenommen hat.
Es ist zwar nicht klar, wie lange es den Datenschutzfehler schon gibt, aber ein Twitter-Nutzer sagte am 20. Januar in einem Tweet, dass der Fehler entdeckt und an Apple gemeldet wurde: "Mein Teenager hat eine große Sicherheitslücke in Apples neuem iOS gefunden. Er kann Ihr iPhone/iPad ohne Ihre Zustimmung abhören".
Dieser Teenager, Grant Thompson von der Catalina Foothills High School, wurde zusammen mit Daven Morris aus Arlington, TX, in Apples Sicherheitsupdate mit der Entdeckung des Fehlers belohnt. Apple sagte, dass dies Thompson für die Entdeckung des Fehlers entschädigen und einen nicht näher bezeichneten Beitrag zu seiner Ausbildung leisten würde, so ein Bericht von CNBC.
Während der Sicherheitsprüfung von FaceTime habe Apple auch einen weiteren FaceTime-Fehler gefunden, der zuvor nicht identifiziert worden sei, sagte der Sprecher gegenüber Threatpost.
Der Fehler sei eine "bisher nicht identifizierte Schwachstelle in der Live-Foto-Funktion von FaceTime", sagte der Sprecher. "Um Kunden zu schützen, die noch nicht auf die neueste Software aufgerüstet haben, haben wir unsere Server aktualisiert, um die Live-Fotos-Funktion von FaceTime für ältere Versionen von iOS und macOS zu blockieren".
Apple hat keine weiteren Informationen über die Schwachstelle CVE-2019-7288 veröffentlicht.
