Fehler im Apple-Browser

Hohes Preisgeld für externen Sicherheitsforscher

Apple belohnt den Entdecker der gefährlichen Safari-Schwachstellen mit 100.500 US-Dollar.
Von 
CSO | 26. Januar 2022 17:30 Uhr
Um Sicherheitslücken schneller aufzuspüren, setzt Apple auf ein Bug-Bounty-Programm.
Um Sicherheitslücken schneller aufzuspüren, setzt Apple auf ein Bug-Bounty-Programm.
Foto: Piscine26 - shutterstock.com

Bereits vor mehr als einem Jahr entdeckte der Sicherheitsforscher Ryan Pickren mehrere Sicherheitslücken in Apples Browser Safari. Über diese hätten Hacker auf die Kamera und das Mikrofon in den Rechnern und Smartphones der Anwender zugreifen können. In der Folge stellte der Security-Experte fest, dass es weitere Schwachstellen in Safari gibt, über die Hacker auch Nutzerkonten wie iCloud, Facebook und PayPal kapern könnten.

Um solche Angriffe zu verhindern, verfügt MacOS eigentlich über integrierte Schutzmaßnahmen. Doch Pickren fand heraus, dass sich einige dieser iCloud- und Safari-Funktionen aushebeln lassen. In einem Test manipulierte er beispielsweise die iCloud-Share-Anwendung so, dass er erneut auf Inhalte zugreifen konnte, die er zuvor geteilt hatte und tauschte die Datei gegen eine andere Datei aus.

"Der Angreifer schlägt im Grunde genommen ein Loch in den Browser", so Ryan Pickren. "Wenn Sie also auf einem Tab bei Twitter.com angemeldet sind, könnte ich dort eindringen." Aber das habe nichts mit den Servern oder der Sicherheit von Twitter zu tun. "Als Angreifer übernehme ich nur die Rolle, die Sie bereits in Ihrem Browser haben." Wenn Systeme immer komplexer werden, schlichen sich auch mehr Fehler ein, erklärt der Experte. Das gelte insbesondere für Webbrowser. "Safari kann so viele Dinge tun - es ist wirklich keine Überraschung, dass es mehr Fehler geben wird, wenn mehr Funktionen dazukommen."

Nachdem Pickren diese Fehler 2021 identifiziert und bei Apple gemeldet hatte, gab das IT-Unternehmen Anfang 2022 Patches heraus. Im Rahmen seines Bug-Bounty-Programms lädt der Tech-Konzern zusätzlich zu seinen eigenen Sicherheitsforschern unabhängige Experten ein, Sicherheitslücken aufzuspüren. Externe Sicherheitsexperten belohnt Apple mit Geldprämien - so erhielt Pikren 100.500 US-Dollar für seine Anstrengungen.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.