Apple hat die neue Gruppen-FaceTime-Funktion in der Nacht auf Dienstag deaktiviert, um die Ausnutzung eines erheblichen Bugs zu unterbinden. Mit einem kleinen Trick ist ein Anrufer in der Lage, das iPhone-, iPad- oder Mac-Mikrofon des Angerufenen aus der Ferne zu aktivieren – bevor dieser abgehoben hat.
Um dies zu bewerkstelligen muss bei einem Anruf nur die eigene Nummer als weitere Person für ein Gruppentelefonat ergänzt werden, dadurch wird das Mikrofon auf Seite des Angerufenen sofort aktiviert, wie Nutzer feststellten. Die Anleitung zur Ausnutzung des Fehlers verbreitete sich in Windeseile über soziale Netzwerke.
Offenbar auch ungewollte Videoübertragung möglich
Lehnt der Empfänger den FaceTime-Anruf durch Drücken der Standby-Taste ab, wird zusätzlich das Live-Video-Bild an den Anrufer übermittelt, wie The Verge feststellte – dies passiere auch beim Drücken der Lauter/Leiser-Knöpfe. Das Unternehmen kenne das Problem und werde es mit einem Software-Update im weiteren Verlauf der Woche ausräumen, teilte Apple in einer ersten Stellungnahme gegenüber US-Medien mit. Das Server-seitige Abschalten der FaceTime-Gruppenfunktion verhindert bis dahin, dass sich der Bug ausnutzen lässt, ein Hinzufügen einer weiteren Person zu FaceTime-Anrufen ist derzeit nicht möglich.
FaceTime deaktivieren
Nutzer sollten dennoch erwägen, FaceTime bis zu einem Fix auf iPhone, iPad und Mac ganz abzuschalten: Dies ist in den iOS-Einstellungen unter "FaceTime" möglich. Auf dem Mac muss man dafür die FaceTime-App öffnen und "FaceTime deaktivieren" aus dem FaceTime-Menü auswählen (oder cmd + K drücken). FaceTime ist Apples in die Betriebssysteme integrierter VoIP-Dienst für Audio- und Videotelefonate, auf dem iPhone ist der Dienst standardmäßig aktiv.
Die Gruppenfunktion hat Apple mit iOS 12.1 Ende Oktober 2018 eingeführt, ob der Fehler seit knapp drei Monaten unbemerkt besteht, bleibt vorerst unklar. Der Bug ließ sich nur auf neueren Geräten ausnutzen, die die Gruppenfunktion unterstützen. Apple hat in den vergangenen Wochen bereits mehrere gravierende Sicherheitslücken in FaceTime geschlossen, die einem Anrufer das Einschleusen von Schadcode ermöglichen.
Quelle: FaceTime als Wanze – Apple schaltet Gruppenfunktion des VoIP-Dienstes ab | heise online
Update 30.01.2019:
Aussage unter Eid belauscht: Anwalt verklagt Apple wegen FaceTime-Bug
Apple reagierte offenbar erst spät auf Nutzerberichte über den möglichen Lauschangriff. Der Bug wird auch ein juristisches Nachspiel haben.
Ein Anwalt hat Apple in den USA wegen eines gravierenden Fehlers im VoIP-Dienst FaceTime verklagt. Er sei während der eidesstattlichen Aussage eines Klienten belauscht worden, führt der Jurist ins Feld. Der Bug habe es erlaubt, "ohne Einwilligung in die intimsten Unterredungen" einzudringen, heißt es in der Klageschrift.
Temporärer Lauschangriff war per FaceTime möglich
Apple hat in der Nacht auf Dienstag die vor wenigen Monaten neu eingeführte Funktion für Gruppentelefonate mit FaceTime abgeschaltet. Durch Hinzufügen der eigenen Rufnummer als weitere Person konnten Anrufer das Mikrofon des Angerufenen aus der Ferne aktivieren, ohne dass dieser dafür abheben musste. Der Bug erlaubte sowohl das Mithören über iPhones, iPads als auch Macs, allerdings begrenzt auf den Zeitraum, in dem der FaceTime-Anruf signalisiert wird.
Drückt der Angerufene eine iPhone-Taste wurde zudem das Videobild übertragen. Apple will noch in der laufenden Woche ein Software-Update veröffentlichen, das den Fehler ausräumen soll. Gruppen-FaceTime ist am Mittwoch weiterhin nicht verfügbar, um ein Ausnutzen der Schwachstelle zu verhindern. Der Anwalt wirft Apple unter anderem Fahrlässigkeit sowie Falschangaben vor und fordert eine Schadenszahlung in noch ungenannter Höhe, wie die Finanznachrichtenagentur Bloomberg berichtet.
Späte Apple-Reaktion auf Nutzermeldungen zu Schwachstelle
Nutzer wollten Apple offenbar schon vorab über die FaceTime-Lauschmöglichkeit informieren, stießen dabei aber auf verschiedene Hürden, wie die New York Times berichtet.
Ein 14-Jähriger im US-Bundesstaat Arizona habe den Fehler schon am 19. Januar bemerkt, danach versuchte seine Mutter, diesen an den iPhone-Hersteller zu melden. Mitteilungen an den Apple-Support und Apples Sicherheits-Team führten offenbar zu keiner unmittelbaren Gegenmaßnahme.
Stattdessen wurde die Familie darauf verwiesen, doch einen Bug-Report einzureichen, schreibt die Zeitung. Die Mutter richtete dafür dann offenbar tatsächlich einen Developer-Account und übermittelte den Fehlerbericht, der den veröffentlichten Unterlagen zufolge als Duplikat geschlossen wurde – offenbar hatte ihn bereits ein anderer Entwickler gemeldet.
Apple schaltete die Gruppen-FaceTime aber erst ab, nachdem das Problem in sozialen Netzwerken explodierte und mediale Aufmerksamkeit nach sich zog, ein auf Twitter veröffentlichtes Nutzervideo zum dem Bug wurde mehrere Millionen Mal abgerufen.
Quelle: FaceTime als Wanze – Apple schaltet Gruppenfunktion des VoIP-Dienstes ab
Update 04.02.2019:
FaceTime-Lausch-Bug: Gruppenchats bleiben für ältere iOS-Versionen deaktiviert
Apple hat den schweren Datenschutzfehler in seinem Kommunikationsprotokoll noch immer nicht behoben. Wenn der Fix kommt, hat er Konsequenzen.
Diese Woche will Apple endlich einen Lausch-Bug in seiner Chattechnik FaceTime beheben, der in deren Gruppenkommunikationsfunktion (Group FaceTime) steckte. Der Fix kommt verzögert, eigentlich sollte das Problem längst behoben sein.
Allerdings wird die (bereits aufgeschobene) Fehlerbehebung nur dafür sorgen, dass iOS-Versionen ab dem kommenden Release 12.1.4 wieder in der Gruppe chatten können. Für alle früheren Betriebssysteme bleibt das Feature abgeschaltet, heißt es nun in einem Bericht von MacRumors unter Berufung auf informierte Kreise.
Ältere Versionen müssen draußen bleiben
Das bedeutet, dass Group FaceTime in iOS 12.1.3 oder früher auch nach Veröffentlichung von Apples Fix unbenutzbar bleibt – der Konzern hatte die Funktion nach Bekanntwerden des Problems zunächst serverseitig abgeschaltet. Wer in der Gruppe kommunizieren will, muss also mindestens auf das in dieser Woche erwartete iOS 12.1.4 aktualisieren. Ob Apple ähnliches für macOS 10.14 alias Mojave plant, ist bislang noch unklar.
Der Group-FaceTime-Bug erlaubt es Angreifern, Kommunikation über den Dienst abzuhören, noch bevor für den Nutzer ersichtlich eine Verbindung besteht. Dazu reichte es aus, sich selbst als zusätzlichen Gruppenchat-Teilnehmer einzutragen. Neben einem Belauschen des Mikrofons war unter bestimmten Umständen sogar die Aktivierung der Videokamera möglich. Mittlerweile gibt es wegen des Fehlers eine Klage gegen Apple, die von einem Anwalt stammt, der fürchtet, dass geheime Gespräche belauscht wurden. Zudem ermittelt die New Yorker Staatsanwaltschaft.
Teenager fand den Bug
Der iPhone-Konzern entschuldigte sich am Freitag bei den Nutzern und dankte der Familie eines Teenagers, der den Fehler entdeckt hatte. Das Problem sei bereits auf den Apple-Servern behoben worden. In Medienberichten hatte es geheißen, der Teenager und seine Mutter hätten bereits vergangene Woche versucht, den Konzern auf den Fehler hinzuweisen.
Sie seien aber an mehreren Stellen nicht weitergekommen, hieß es. Apple reagierte am Dienstag, nachdem die Schwachstelle größere Bekanntheit bekam. Das Unternehmen versicherte jetzt, dass seine Entwickler die Funktion sofort deaktiviert hätten, nachdem sie den Fehler nachvollziehen konnten.
Quelle: FaceTime-Lausch-Bug: Gruppenchats bleiben für ältere iOS-Versionen deaktiviert
Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von mad.de () aus folgendem Grund: update 30.01.2019 update 04.02.2019