In der Apple Watch steckt eine Sicherheitslücke, mit der es möglich ist, Nutzer unerwünscht über ein gekoppeltes iPhone abzuhören. Das hat Apple selbst in einem Statement eingeräumt.
Der Konzern hält das Problem für derart akut, dass er die komplette Walkie-Talkie-Funktion, die sich ausnutzen ließ, serverseitig deaktiviert hat. "Wir wurden gerade auf eine Schwachstelle aufmerksam gemacht, die mit der Walkie-Talkie-App auf der Apple Watch zusammenhängt und haben die Funktion deshalb deaktiviert, während wir dabei sind, das Problem schnell zu lösen." Man entschuldige sich bei seinen Kunden für die Unannehmlichkeit und arbeite daran, die Funktion "so früh wie möglich" wiederherzustellen.
Konkrete Details zu der Lücke nannte Apple nicht. Allerdings scheint die Apple Watch allein nicht (nur) das Problem zu sein, sondern eine Kombination aus der Computeruhr und dem iPhone – beide sind allerdings zumeist gekoppelt. Apple gab an, der Bug erlaube es einem Angreifer, durch das Handy eines Kunden "zuzuhören", ohne dass das Opfer sein Einverständnis geben muss. Das Walkie-Talkie-Feature ist eine sogenannte Push-to-Talk-Funktion, mit der Besitzer von Apple-Watch-Geräten kurze Sprachnachrichten hin und her schicken können. Sie ist Teil von watchOS seit Release 5 aus dem Jahr 2018.
"Spezifische Voraussetzungen"
Der Konzern teilte weiterhin mit, dass die Schwachstelle nur unter "spezifischen Voraussetzungen" sowie bei der Einhaltung "einer bestimmten Sequenz von Ereignissen" ausgenutzt werden könne. Apple sei nicht bekannt, dass der Exploit tatsächlich gegen einen Nutzer eingesetzt wurde. "Dennoch nehmen wir Sicherheit und Privatsphäre unserer Kunden extrem ernst." Daher habe man sich entschlossen, die Walkie-Talkie-App zu deaktivieren.
Der Fehler erinnert an eine schwerwiegende Lücke in Apples FaceTime-Gruppenchat-Funktion, die im Januar bekanntgeworden war. Dabei konnten Nutzer ebenfalls unerwünscht belauscht werden. Erst in dieser Woche ging Apple zudem gegen eine Lücke in der Videochat-App Zoom vor. Auch hier konnten Nutzer abgehört werden, weil sich die Kamera eines Mac von Außen aktivieren ließ.
Die Gruppenfunktion hat Apple mit iOS 12.1 Ende Oktober 2018 eingeführt, ob der Fehler seit knapp drei Monaten unbemerkt besteht, bleibt vorerst unklar. Der Bug ließ sich nur auf neueren Geräten ausnutzen, die die Gruppenfunktion unterstützen. Apple hat in den vergangenen Wochen bereits mehrere gravierende Sicherheitslücken in FaceTime geschlossen, die einem Anrufer das Einschleusen von Schadcode ermöglichen.
Quelle: Smartwatch als Wanze: Apple deaktiviert Walkie-Talkie-Funktion in Apple Watch | heise online