Ein Bug in Apples Kommunikationsdienst ermöglicht, das Mikrofon von iPhone und Mac aus der Ferne zu aktivieren. Apple ergreift Notfallmaßnahmen.

Apple hat die neue Gruppen-FaceTime-Funktion in der Nacht auf Dienstag deaktiviert, um die Ausnutzung eines erheblichen Bugs zu unterbinden. Mit einem kleinen Trick ist ein Anrufer in der Lage, das iPhone-, iPad- oder Mac-Mikrofon des Angerufenen aus der Ferne zu aktivieren – bevor dieser abgehoben hat.

Um dies zu bewerkstelligen muss bei einem Anruf nur die eigene Nummer als weitere Person für ein Gruppentelefonat ergänzt werden, dadurch wird das Mikrofon auf Seite des Angerufenen sofort aktiviert, wie Nutzer feststellten. Die Anleitung zur Ausnutzung des Fehlers verbreitete sich in Windeseile über soziale Netzwerke.
Offenbar auch ungewollte Videoübertragung möglich

Lehnt der Empfänger den FaceTime-Anruf durch Drücken der Standby-Taste ab, wird zusätzlich das Live-Video-Bild an den Anrufer übermittelt, wie The Verge feststellte – dies passiere auch beim Drücken der Lauter/Leiser-Knöpfe. Das Unternehmen kenne das Problem und werde es mit einem Software-Update im weiteren Verlauf der Woche ausräumen, teilte Apple in einer ersten Stellungnahme gegenüber US-Medien mit. Das Server-seitige Abschalten der FaceTime-Gruppenfunktion verhindert bis dahin, dass sich der Bug ausnutzen lässt, ein Hinzufügen einer weiteren Person zu FaceTime-Anrufen ist derzeit nicht möglich.

FaceTime deaktivieren
Nutzer sollten dennoch erwägen, FaceTime bis zu einem Fix auf iPhone, iPad und Mac ganz abzuschalten: Dies ist in den iOS-Einstellungen unter "FaceTime" möglich. Auf dem Mac muss man dafür die FaceTime-App öffnen und "FaceTime deaktivieren" aus dem FaceTime-Menü auswählen (oder cmd + K drücken). FaceTime ist Apples in die Betriebssysteme integrierter VoIP-Dienst für Audio- und Videotelefonate, auf dem iPhone ist der Dienst standardmäßig aktiv.
Die Gruppenfunktion hat Apple mit iOS 12.1 Ende Oktober 2018 eingeführt, ob der Fehler seit knapp drei Monaten unbemerkt besteht, bleibt vorerst unklar. Der Bug ließ sich nur auf neueren Geräten ausnutzen, die die Gruppenfunktion unterstützen. Apple hat in den vergangenen Wochen bereits mehrere gravierende Sicherheitslücken in FaceTime geschlossen, die einem Anrufer das Einschleusen von Schadcode ermöglichen.

Quelle: FaceTime als Wanze – Apple schaltet Gruppenfunktion des VoIP-Dienstes ab | heise online

Update 30.01.2019:
Aussage unter Eid belauscht: Anwalt verklagt Apple wegen FaceTime-Bug

Apple reagierte offenbar erst spät auf Nutzerberichte über den möglichen Lauschangriff. Der Bug wird auch ein juristisches Nachspiel haben.
Ein Anwalt hat Apple in den USA wegen eines gravierenden Fehlers im VoIP-Dienst FaceTime verklagt. Er sei während der eidesstattlichen Aussage eines Klienten belauscht worden, führt der Jurist ins Feld. Der Bug habe es erlaubt, "ohne Einwilligung in die intimsten Unterredungen" einzudringen, heißt es in der Klageschrift.

Temporärer Lauschangriff war per FaceTime möglich
Apple hat in der Nacht auf Dienstag die vor wenigen Monaten neu eingeführte Funktion für Gruppentelefonate mit FaceTime abgeschaltet. Durch Hinzufügen der eigenen Rufnummer als weitere Person konnten Anrufer das Mikrofon des Angerufenen aus der Ferne aktivieren, ohne dass dieser dafür abheben musste. Der Bug erlaubte sowohl das Mithören über iPhones, iPads als auch Macs, allerdings begrenzt auf den Zeitraum, in dem der FaceTime-Anruf signalisiert wird.

Drückt der Angerufene eine iPhone-Taste wurde zudem das Videobild übertragen. Apple will noch in der laufenden Woche ein Software-Update veröffentlichen, das den Fehler ausräumen soll. Gruppen-FaceTime ist am Mittwoch weiterhin nicht verfügbar, um ein Ausnutzen der Schwachstelle zu verhindern. Der Anwalt wirft Apple unter anderem Fahrlässigkeit sowie Falschangaben vor und fordert eine Schadenszahlung in noch ungenannter Höhe, wie die Finanznachrichtenagentur Bloomberg berichtet.

Späte Apple-Reaktion auf Nutzermeldungen zu Schwachstelle
Nutzer wollten Apple offenbar schon vorab über die FaceTime-Lauschmöglichkeit informieren, stießen dabei aber auf verschiedene Hürden, wie die New York Times berichtet.
Ein 14-Jähriger im US-Bundesstaat Arizona habe den Fehler schon am 19. Januar bemerkt, danach versuchte seine Mutter, diesen an den iPhone-Hersteller zu melden. Mitteilungen an den Apple-Support und Apples Sicherheits-Team führten offenbar zu keiner unmittelbaren Gegenmaßnahme.

Stattdessen wurde die Familie darauf verwiesen, doch einen Bug-Report einzureichen, schreibt die Zeitung. Die Mutter richtete dafür dann offenbar tatsächlich einen Developer-Account und übermittelte den Fehlerbericht, der den veröffentlichten Unterlagen zufolge als Duplikat geschlossen wurde – offenbar hatte ihn bereits ein anderer Entwickler gemeldet.

Apple schaltete die Gruppen-FaceTime aber erst ab, nachdem das Problem in sozialen Netzwerken explodierte und mediale Aufmerksamkeit nach sich zog, ein auf Twitter veröffentlichtes Nutzervideo zum dem Bug wurde mehrere Millionen Mal abgerufen.

Quelle: FaceTime als Wanze – Apple schaltet Gruppenfunktion des VoIP-Dienstes ab


Update 04.02.2019:

FaceTime-Lausch-Bug: Gruppenchats bleiben für ältere iOS-Versionen deaktiviert

Apple hat den schweren Datenschutzfehler in seinem Kommunikationsprotokoll noch immer nicht behoben. Wenn der Fix kommt, hat er Konsequenzen.
Diese Woche will Apple endlich einen Lausch-Bug in seiner Chattechnik FaceTime beheben, der in deren Gruppenkommunikationsfunktion (Group FaceTime) steckte. Der Fix kommt verzögert, eigentlich sollte das Problem längst behoben sein.

Allerdings wird die (bereits aufgeschobene) Fehlerbehebung nur dafür sorgen, dass iOS-Versionen ab dem kommenden Release 12.1.4 wieder in der Gruppe chatten können. Für alle früheren Betriebssysteme bleibt das Feature abgeschaltet, heißt es nun in einem Bericht von MacRumors unter Berufung auf informierte Kreise.

Ältere Versionen müssen draußen bleiben
Das bedeutet, dass Group FaceTime in iOS 12.1.3 oder früher auch nach Veröffentlichung von Apples Fix unbenutzbar bleibt – der Konzern hatte die Funktion nach Bekanntwerden des Problems zunächst serverseitig abgeschaltet. Wer in der Gruppe kommunizieren will, muss also mindestens auf das in dieser Woche erwartete iOS 12.1.4 aktualisieren. Ob Apple ähnliches für macOS 10.14 alias Mojave plant, ist bislang noch unklar.
Der Group-FaceTime-Bug erlaubt es Angreifern, Kommunikation über den Dienst abzuhören, noch bevor für den Nutzer ersichtlich eine Verbindung besteht. Dazu reichte es aus, sich selbst als zusätzlichen Gruppenchat-Teilnehmer einzutragen. Neben einem Belauschen des Mikrofons war unter bestimmten Umständen sogar die Aktivierung der Videokamera möglich. Mittlerweile gibt es wegen des Fehlers eine Klage gegen Apple, die von einem Anwalt stammt, der fürchtet, dass geheime Gespräche belauscht wurden. Zudem ermittelt die New Yorker Staatsanwaltschaft.

Teenager fand den Bug
Der iPhone-Konzern entschuldigte sich am Freitag bei den Nutzern und dankte der Familie eines Teenagers, der den Fehler entdeckt hatte. Das Problem sei bereits auf den Apple-Servern behoben worden. In Medienberichten hatte es geheißen, der Teenager und seine Mutter hätten bereits vergangene Woche versucht, den Konzern auf den Fehler hinzuweisen.

Sie seien aber an mehreren Stellen nicht weitergekommen, hieß es. Apple reagierte am Dienstag, nachdem die Schwachstelle größere Bekanntheit bekam. Das Unternehmen versicherte jetzt, dass seine Entwickler die Funktion sofort deaktiviert hätten, nachdem sie den Fehler nachvollziehen konnten.

Quelle: FaceTime-Lausch-Bug: Gruppenchats bleiben für ältere iOS-Versionen deaktiviert

Schwere FaceTime-Lücke: Apple will wohl Bug Bounty zahlen – als Ausnahme

Ein Teenager, der einen dicken Lausch-Bug in Apples Kommunikationssoftware entdeckt hat, soll dafür Geld sehen, obwohl er nicht als Fehlerjäger registriert ist.
Eigentlich sind Apples Regeln für das hauseigene Bug-Bounty-Programm glasklar: Nur zuvor registrierte Sicherheitsforscher können bestimmte Lücken in iOS für den Konzern auffinden und dafür bis zu 200.000 US-Dollar erhalten.
Nun will Apple offenbar eine Ausnahme machen: Für einen Teenager aus Arizona, der einen schwerwiegenden Bug in Apples Kommunikationswerkzeug FaceTime gefunden hatte. Dies berichtet die Mutter des 14jährigen, der den Bug im Januar fand.

Zeigt sich Apple gnädig?
Laut den Angaben von Michele Thompson gegenüber dem US-Börsensender CNBC kam bereits ein "hochrangiger Apple-Manager" nach Tucson geflogen, um ihren Sohn zu treffen. "Der hat uns persönlich gedankt und nach unserem Feedback gefragt, wie man den Meldeprozess verbessert könnte." Tatsächlich hatte der Mutter Thompson den Bug bereits vor mehreren Wochen an Apple gemeldet, es tat sich jedoch erst etwas, nachdem Medien über den Fehler berichteten. Er erlaubte es, das Mikrofon von iPhones, iPads und Macs aus der Ferne temporär ohne Einverständnis des Users zu aktivieren – und unter Umständen sogar die Videokamera. Grund war ein Problem in Apples neuer Gruppenchat-Funktion (Group FaceTime).
Laut Thompson teilte der ungenannte Apple-Manager der Familie mit, Grant könne "für das Bug-Bounty-Programm berechtigt" sein. Die Mutter sagte, sie hoffe, dass dies passiere. "Wir hätten dafür sicher eine gute Verwendung, für sein College." Den 14jährigen interessiere das Feld (der Fehlerjagd) sowieso schon. Apple-Produkte will der Junge übrigens weiterverwenden. Manchmal fielen Probleme eben "durch den Rost" und könnten aufgefunden werden. Er glaube, Apple wolle die Privatsphäre seiner Nutzer schützen.

Kein Bounty für macOS – immer noch
Das Thema Bug-Bounty-Programm bei Apple ist für professionelle Sicherheitsforscher immer wieder Anlass zur Kritik. So ist es schwer, offiziell registrierter Teilnehmer zu werden – Apple ist hier weniger offen als die Konkurrenz. Zudem sucht sich der Konzern nur bestimmte Fehlerbereiche aus, die "geldfähig" sind. macOS ist nach wie vor nicht vom Bug-Bounty-Programm abgedeckt, was den IT-Security-Experten Patrick Wardle bereits motivierte, Schwachstellen publizieren zu wollen, bevor Apple sie fixt.
Der junge deutsche Sicherheitsforscher Linus Henze hatte sich zuletzt gar dazu entschieden, einen kritischen Keychain-Bug für sich zu behalten, der das Auslesen von Passwörtern noch bis macOS Mojave erlaubt – er begründete dies explizit mit Apples fehlendem Bug-Bounty-Programm für das Mac-Betriebssystem.

Quelle: Schwere FaceTime-Lücke: Apple will wohl Bug Bounty zahlen – als Ausnahme | heise online

Mit iOS 12.1.4 und einem Mojave-Update beseitigt das Unternehmen FaceTime-Schwachstellen – und Zero-Day-Exploits.

Apple hat am Donnerstagabend wichtige Sicherheits-Updates für iPhone, iPad und Mac veröffentlicht. iOS 12.1.4 beseitigt – wie angekündigt – eine gravierende Schwachstelle im VoIP-Dienst FaceTime, die es im Rahmen eines Gruppentelefonates erlaubte, das Mikrofon des Angerufenen zu aktivieren – bevor abgehoben wurde. Das Problem sei durch eine verbesserte Statusverwaltung behoben worden, wie das Unternehmen erklärte.
Apple findet weitere FaceTime-Lücke bei Sicherheitsprüfung

Gruppenanrufe in FaceTime sind nun wieder möglich, sobald Nutzer das Update auf iPhone oder iPad installiert haben. Apple hat die vor neun Tagen als Notfallmaßnahme abgeschaltete Funktion am Donnerstagabend Server-seitig wieder aktiviert – sie setzt nun aber iOS 12.1.4 voraus. Gruppenanrufe mit iOS 12.1 bis 12.1.3 bleiben blockiert, damit die Schwachstelle dort nicht mehr zum Belauschen ausgenutzt werden kann.

Man habe im Rahmen einer "sorgfältigen Sicherheitsprüfung" von FaceTime zudem ein Problem mit der Live-Foto-Funktion gefunden, schreibt Apple in den Angaben zu den Sicherheits-Updates, ohne das allerdings näher auszuführen.

Nutzer können während eines Videotelefonats Live-Fotos – sprich kurze Videos – anfertigen. Welche Schwachstelle dabei bestand, bleibt unklar. Gegenüber US-Medien teilte der Konzern mit, aus diesem Grund bleibe die Live-Fotos-Funktion von FaceTime in älteren Versionen von iOS und macOS blockiert.

Für Mac-Nutzer steht ein "ergänzendes Update" für macOS Mojave 10.14.3 zum Download bereit, das die FaceTime-Lücken ebenfalls beseitigen soll. Eine schwere Schwachstelle im Schlüsselbund von macOS bleibt offenbar weiter offen.

Google-Sicherheitsforscher: Zero-Day-Exploits in freier Wildbahn
Die außer der Reihe veröffentlichten Updates nutzt Apple außerdem, um zwei weitere Schwachstellen zu beseitigen: Ein Bug in Apples Foundation-Framework befähigt Apps nämlich, ihre Rechte auszuweiten (sowohl in iOS als auch macOS) – das soll in der neuen Version nicht länger möglich sein. Ein Fehler in IOKit ermöglicht Apps zudem, Schadcode mit Kernel-Rechten auszuführen, wie der Hersteller mitteilte – letzteres betrifft nur iOS.

Die Lücken wurden von einem anonymen Sicherheitsforscher sowie mehreren Google-Sicherheitsforschern an Apple gemeldet. Die Schwachstellen seien bereits als Zero-Day-Exploits in der freien Wildbahn ausgenutzt worden, teilte der Projektleiter von Googles Project Zero auf Twitter mit ohne weiter ins Detail zu gehen. Nutzer sollten die Updates umgehend einspielen.

Apple hat am Donnerstagabend auch ein Sicherheits-Update für die hauseigene Kurzbefehle-App freigegeben. Version 2.1.3 soll offenbar verhindern, dass manipulierte Shortcuts aus der Sandbox ausbrechen und so auf persönliche Nutzerdaten in Systemdateien Zugriff erhalten.

Quelle: Updates einspielen: Apple stopft kritische Lücken auf iPhone, iPad und Mac | heise online

Google: Hacker nutzen mit iOS 12.1.4 gepatchte Schwachstellen aus

Zwei Anfälligkeiten sind als Zero-Day-Lücken einzustufen. Sie stecken in den Komponenten IOKit und Foundation. Ein Angreifer kann Schadcode mit Kernelrechten ausführen. Google hält jedoch alle Details zu den Angriffen zurück.

Zwei der insgesamt vier Sicherheitslöcher, die Apple in der vergangenen Woche mit iOS 12.1.4 gestopft hat, sind offenbar Zero-Day-Lücken. Laut einem Tweet von Ben Hawkes, Team Leader von Googles Project Zero, werden sie bereits aktiv für Angriffe ausgenutzt. Ob sie für groß angelegte Hacking-Kampagnen oder nur für zielgerichtete Angriffe auf ausgewählte Opfer verwendet werden, lässt der Sicherheitsexperte jedoch offen.
Die beiden Schwachstellen mit den Kennungen CVE-2019-7286 und CVE-2019-7287 wurden laut Apples Security Bulletin von einem anonymen Forscher sowie von den Google-Mitarbeitern Clement Lecigne, Ian Beer und Samuel Groß entdeckt. Sie stecken in den Komponenten Foundation und IOKit.

Das iOS Foundation Framework ist eine der Kernkomponenten von Apples Mobilbetriebssystem. Ein Angreifer kann unter Umständen einen Speicherfehler nutzen, um über eine schädliche App höhere Benutzerrechte zu erlangen. Die zweite Zero-Day-Lücke ist ebenfalls ein Speicherfehler, der allerdings das Ausführen von Schadcode mit Kernelrechten erlaubt. Auch hier müsste der Schadcode zuerst beispielsweise über eine schädliche App eingeschleust werden.
Weder Google noch Apple standen auf Nachfrage von ZDNet USA für eine Stellungnahme zur Verfügung – was auch nachvollziehbar ist, denn beiden Unternehmen dürfte daran gelegen sein, die Details der Anfälligkeiten so lange wie möglich geheim zu halten, um nicht weitere Hackerangriffe auf iPhones und iPads zu begünstigen.
Nutzer sollten Googles Enthüllung zum Anlass nehmen, ihre Apple-Geräte unverzüglich auf iOS 12.1.4 zu aktualisieren. Dadurch erhalten sie auch den Fix für den Fehler in der Messaging-App Facetime, der iPhones und iPads zu Abhörgeräten macht.

Quelle: Google: Hacker nutzen mit iOS 12.1.4 gepatchte Schwachstellen aus | ZDNet.de

Nach Sicherheitsupdate: Apple räumt Probleme mit Facetime-Gruppenchat ein

Sie steht nur eingeschränkt zur Verfügung. Nutzer müssen eine Konversation mit mindestens zwei Personen starten, um eine dritte hinzufügen zu können. Abhilfe schafft wahrscheinlich erst iOS 12.2.

Apple hat gegenüber MacRumors eingeräumt, dass die Gruppenchat-Funktion von Facetime nach Veröffentlichung des dringend benötigten Sicherheitsupdates nicht wieder wie gewohnt funktioniert. Es treten vor allem Probleme bei dem Versuch auf, weitere Nutzer zu einem vorhandenen Chat hinzuzufügen.

Nach Bekanntwerden eines Bugs in Facetime, der iPhones zu Abhörgeräten machte, hatte Apple Ende Januar die Gruppen-Chat-Funktion serverseitig abgeschaltet. Ein Nutzer musste lediglich einen Kontakt per Facetime anrufen und noch während des Wahlvorgangs eine weitere Person zu der Konversation hinzufügen, um das Mikrofon des Angerufenen einzuschalten – und zwar ohne dessen Wissen.

Unter Umständen konnte der Angerufene die Situation sogar noch verschlimmern. Drückte er die Power-Taste oder einen Lautstärke-Button, um das Gespräch abzuweisen, wurde stattdessen die Frontkamera aktiviert. Auch das wurde dem Angerufenen nicht angezeigt.

Das vor zwei Wochen veröffentlichte Update auf iOS 12.1.4 sollte den Fehler schließlich endgültig beheben und zudem die Gruppen-Funktion wieder aktiveren, was offenbar nicht gelungen ist. Denn unglücklicherweise steht Nutzern der Gruppen-Chat nur eingeschränkt zur Verfügung.

Versucht man derzeit, zu einer Konversation zwischen zwei Teilnehmern eine dritte Person hinzuzufügen, ist die dafür vorgesehene Schaltfläche ausgegraut. Sie ist nur aktiv, wenn direkt mindestens zwei Personen angerufen werden – was Apple inzwischen in einem Tweet bestätigt hat. Dort heißt es: „Beachten Sie auch, dass Group FaceTime-Aufrufe mit mindestens zwei zusätzlichen Benutzern in der FaceTime App gestartet werden müssen.“

MacRumors konnte das Problem und auch die von Apple vorgeschlagene Behelfslösung nachvollziehen. Mindestens ein Leser des Blocks berichtet jedoch, dass er auch zu einem vorhandenen Gruppen-Chat keine neuen Nutzer hinzufügen kann.

Derzeit arbeitet Apple an iOS 12.2. Die aktuelle Beta behebt den Fehler allerdings noch nicht abschließend. MacRumors geht jedoch davon aus, dass eine kommende Beta und damit auch die finale Funktion die Gruppen-Chat-Funktion wiederherstellt.

Quelle: Nach Sicherheitsupdate: Apple räumt Probleme mit Facetime-Gruppenchat ein | ZDNet.de