Apple erleidet Niederlage im Gerichtsprozess gegen Corellium
von André Westphal | 40 Kommentare
Apple hat vor Gericht eine Niederlage gegen das Start-up Corellium davongetragen. Worum geht es? Corellium bietet Partnern über seine Sicherheits-Software quasi den Zugriff auf virtuelle iPhones an. Das soll Sicherheitsforschern helfen Schwachstellen zu identifizieren und gegebenenfalls bei der Schließung von Sicherheitslücken und der Behebung von Bugs unterstützen. Apple verklagte Corellium anschließend, weil man seine Urheberrechte verletzt sah. Doch ein US-Gericht gab Corellium recht.
Das Urteil wurde von einem Bundesrichter in Florida gefällt. Demnach habe Corellium mit seiner Software keine Urheberrechte Apples verletzt. Die Software des Unternehmens erlaubt es Kunden, quasi virtuelle iPhones auf PCs zu simulieren. Dadurch sind Tests zu Sicherheitszwecken möglich, ohne dass ein physisches Gerät vorliegen müsste. Vor Gericht wog bei der Entscheidung auch das Argument schwer, dass hier aus Sicherheitsgründen geforscht werde. Zumal Corellium seine Software nicht an beliebige Kunden herausgebe, sondern jeden Partner zunächst im Hinblick auf seine Seriosität prüfe.
Apple hatte vor Gericht argumentiert, dass die Software von Corellium in den falschen Händen Schaden anrichten könnten. Denn mit den Tools entdeckte Sicherheitslücken könnten dann ausgenutzt werden. Apple behauptete auch, dass Corellium seine Software wahllos verscherbeln würde, was das Start-up stets bestritt. Auch dem Richter kamen Apples Argumente insgesamt „unehrlich“ vor.
Spannender Hintergrund: 2018 wog Apple ab Corellium zu übernehmen, um dessen Tools zu internen Zwecken zu verwenden. Es kam aber nicht zu einer Einigung und was folgte, war die Klage Apples. Jene stand aber von Anfang an auf wackligen Beinen, da die virtuellen iPhones nur die notwendigsten Funktionen enthalten, welche für die Sicherheitsforschung relevant sind.
Ganz vom Tisch ist die Geschichte dennoch noch nicht: Apple wirft Corellium nämlich auch vor den Digital Millennium Copyright Act verletzt und Sicherheitsmechanismen des Unternehmens umgangen zu haben. Dazu muss noch eine Entscheidung getroffen werden. Bei Sicherheitsforschern kam das erste Urteil aber nun gut an. Es sei ein Sieg für die Forscher-Community. Forbes hatte Corellium sogar zum Cybersecurity-Produkt des Jahres gekürt.
Wird geladen ...
Gut, endlich tut sich mal was.
„Denn mit den Tools entdeckte Sicherheitslücken könnten dann ausgenutzt werden.“
Was ist das denn für ein dummes Argument? Dann baut halt erst keine Sicherheitslücken ein!
Spricht der Android-User, dessen OS eine einzige Sicherheitslücke ist…
Wow, da wurde aber einer getriggert 😀
Um mal deinem Argument ein wenig die Luft aus den Segeln zu nehmen: KEINE Software ist fehlerfrei. Nie!
Der Vorteil von Open-Source Software (wie unter anderem auch Android) ist jedoch, dass man solche Fehler schneller entdeckt und auch schneller beheben kann. Google bringt für sein OS 2x im Monat Bugfix- und Sicherheitsupdates. Das ist sogar häufiger als Microsoft es für Windows tut. Das tatsächlich negative sind hier also eher die Hersteller, welche aktuell noch ziemlich lange brauchen diese Patches zu verteilen (sofern sie es denn überhaupt tun).
Wenn du denkst, dass iOS, nur weil es kaum bekannte Sicherheitslücken gibt dadurch besser wäre, muss ich dich leider enttäuschen. Die Sicherheitslücken wurden teilweise einfach nur noch nicht entdeckt. Und immer dann wenn mal wieder was entdeckt wird muss man hoffen, dass es Sicherheitsforscher waren, da diese Apple 90 Tage Zeit geben es zu fixen…. (was Apple oft in der Vollständigkeit braucht).
Nebenbei: Für Android gab es seit Jahren keine Sicherheitslücken, welche wormable Schadcode (also Schadcode, welcher sich nach der Infektion eines Gerätes von dort aus selbstständig weiterverbreitet) möglich gemacht haben … für iOS gabs gleich mehrere in den letzten Jahren. Zum Glück waren keine davon aktiv ausgenutzte 0day-Lücken 😉
Diese Sicherheitsupdates gab es aber auch erst, nachdem den Herstellern freie Hand über die Updates gegeben wurde und das ganze in die Hose ging.
Wenn ich daran denke, was vor Jahren noch Modelle auf den Markt geworfen wurden, die niemals auch nur ein Update erhalten haben…
Und es hat nichts mit Triggern zu tun, denn wie man in den Wald schreit, sons hallt es heraus.
Wie wurde denn in den Wald geschrien? Du betreibst hier wieder Whataboutism. Es ging darum, dass Apple etwas verbieten will, dass ein legitimer Anwendungszweck ist. Man merkt dir doch sofort an, dass du jede noch so entfernte Möglichkeit nutzt, um auf Android draufzuschlagen, selbst wenn der ursprüngliche Kommentar damit kaum etwas zu tun hat. Und ich benutze ausschließlich Apple Produkte, aber du machst dich lächerlich, Triggerboy.
Du verwechselst da zwei Dinge. Die offiziellen Updates für Android und die von den Herstellern veröffentlichen Updates 😉
Die Updates von Google gibt es schon lange so, sie sind nur jetzt noch regelmäßiger geworden und eben (zumindest in der Theorie) verpflichtend für andere Hersteller.
Die Updatepolitik der Hersteller ist aber Stellenweise immer noch genau so lahmarschig. Selbst jetzt kommen noch Modelle auf den Markt die nie wirklich Sicherheits-Updates bekommen, weil bei vielen Herstellern die Updatepflicht zwar theoretisch besteht aber es wird halt nicht wirklich kontrolliert. Hier wäre Kritik angebracht und vollkommen berechtigt. Das jedoch alles über einen Kamm zu scheren ist schlichtweg falsch.
> Der Vorteil von Open-Source Software …
Jaja, immer das gleiche Argument.
https://www.heise.de/news/GitHub-Report-Schwachstellen-in-Open-Source-bleiben-jahrelang-unentdeckt-4980891.html
> für iOS gabs gleich mehrere in den letzten Jahren
Welche sollen das sein, also solche die drive-by und no-click funktionieren?
Richtig ist aber: es gibt für alle Betriebssystem immer mal 0days, die auch in freier Wildbahn ausgenutzt werden. Beispiel: https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
> https://www.heise.de/news/GitHub-Report-Schwachstellen-in-Open-Source-bleiben-jahrelang-unentdeckt-4980891.html
Jaja, immer das gleiche Argument. Bei Closed Source wären die Schwachstellen heute noch unentdeckt.
„Du ja selber!“
–Kevin, 12
Und schwupps, gingen dem kleinen Kalle wie schon so oft mal wieder die Argumente aus.
Argument als Antwort auf was? Lücken werden nur gefunden wenn die Quellen offen sind? Das ist erstklassiger Schwachsinn.
Davon abgesehen:
https://opensource.apple.com
https://github.com/apple
Also bitte, troll dich du Spinner.
> Lücken werden nur gefunden wenn die Quellen offen sind?
Das steht da nicht.
> Also bitte, troll dich du Spinner.
Mimimi!
Hast du mal in die Repositories reingeschaut? Ich denke nicht, sonst hättest du die nicht so selbstgefällig gepostet. iOS ist in der jeweils aktuellsten Version nie Quelloffen. Quelloffen sind enige Teile, bei denen Apple sowieso verpflichtet ist, weil sie eben von Quelloffenen Systemen kopiert haben sowie ältere iOS Kernel.
Im ersten Link gibt es genau 0 Repositories zu iOS 14. Beim zweiten Link sind 90% davon Toolchains.
Bezüglich deines Links unter meinem Kommentar weiter oben:
Lücken werden in der Regel SCHNELLER gefunden und vorallem schneller behoben, wenn die Quellen offen sind. Viele Sicherheitslücken in Closed Source Software wird auch erst nach mehr als 4 Jahren gefunden, oftmals dann aber auch erst, wenn es ausgenutzt wird.
Beispiele gefällig von weit verbreiteten Systemen? Hier:
https://winfuture.de/news,110641.html (~20 Jahre)
https://www.cio.de/a/microsoft-entfernt-windows-fehler-nach-17-jahren,3591335 (17 Jahre)
https://www.chip.de/news/Schwere-Sicherheitsluecke-in-iPhones-und-iPads-Wer-Apple-Mail-nutzt-sollte-updaten_182641923.html (10 Jahre)
Aber wie immer gilt, es gibt überall Ausnahmen. Nicht jeder Bug in proprietärer Software bleibt ewig versteckt und nicht jeder Bug in Open Source Software wird schnell gefunden. Auch hat Closed Source Software natürlich den „Vorteil“, dass es schwerer ist eine Lücke zu finden und dementsprechend schwerer wird diese auszunutzen… allerdings bist du bei Closed Source Software auch auf den Hersteller angewiesen, wenn der z.B. nicht mehr existiert oder das Produkt was du nutzt nicht mehr pflegt hast du Pech gehabt. Bei Open Source Software könnte theoretisch jeder einen Patch schreiben und veröffentlichen, so dass man sich absichern kann, bevor eine offizielle neue Version rauskommt. So u.A. geschehen bei Heartbleed damals.
[Zugegeben, in der aktuellen Diskussion ist das eher unwarscheinlich, da wir hier von gerätenahen Betriebssystemen sprechen ;)]
Allerdings einen Heise-Link rauszukramen, der sagt, dass Sicherheitslücken in Open Source erst nach 4 oder mehr Jahren gefunden werden, ohne einen tatsächlichen Vergleich zu proprietären Systemen zu ziehen ist halt nichts anderes als „confirmation bias“.
Zu deiner Frage direkt unter meinen Kommentar weiter oben zu den Zero-Click-Exploits:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html
https://blog.malwarebytes.com/mac/2020/04/ios-mail-bug-allows-remote-zero-click-attacks/ (hier ist tatsächlich nur die Mail-App betroffen und zero-click auch nur unter iOS13. Es können aber über diese Attacke Mails an alle Kontakte gesendet werden, welche wiederrum den Schadcode weiterverbreiten).
Allerdings hatte ich tatsächlich übersehen, dass es für Android 8.x und 9.x tatsächlich einen ähnlichen Bug gab: https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/ – Wobei hier die BT-MAC-Adresse bekannt sein muss, es also schwerer ist tatsächlich wormable zu bekommen, wenn auch nicht unmöglich.
Jetzt verwirre den armen Kalle doch nicht mit Fakten!
> Nicht jeder Bug in proprietärer Software bleibt ewig versteckt und nicht jeder Bug in Open Source Software wird schnell gefunden.
Nichts anderes habe ich behauptet.
Bzgl. Open Source-Code, teilweise sind die aktuell, dann muss man wieder zwei Jahre warten. Ich denke mal das ist einfach ein Management-Ding. Wenn denen keiner sagt dass sie Teile der internen Repo auf die öffentlichen schieben sollen dann machen die das nicht. Um Sicherheitsforscher zu bedienen hat man ganz andere Mechanismen ausgedacht: https://www.heise.de/news/Apple-liefert-gerootete-iPhones-an-Sicherheitsforscher-aus-4998617.html
In den letzten Jahren wurden ja einige Bluetooth-Lücken gefunden. Dass sich eine davon in Zusammenhang mit einem Speicherfehler im Kernel ausnutzen lässt kannte ich nicht. Danke für den Link.
Auch wenn sicherlich alle Systeme ihre Schwächen und auch Sicherheitslücken haben, wenn von vornherein schon regelmäßige Bugfixes vorgesehen und geplant sind, stimmt doch was Grundsätzliches nicht. Zu wissen, dass keine Software fehlerfrei ist, ist eine Sache, aber davon auszugehen, dass regelmäßig sicherheitsrelevante Fehler gefunden werden, hebt das in meinen Augen noch mal auf ein anderes Level, und das nicht im positiven Sinne.
Wer nicht davon ausgeht, dass bei so komplexen Software-Projekten regelmäßig Fehler gefunden werden, ist ein Träumer.
> Wer nicht davon ausgeht, dass bei so komplexen Software-Projekten regelmäßig Fehler gefunden werden, ist ein Träumer.
Oder hat in seinem Leben noch nie selbst programmiert 😉
Na dann mal Butter bei die Fische! Welche Sicherheitslücken sind im aktuellen GrapheneOS Build 2020.12.12.03 denn vorhanden?
Ist das so ein „Hey, du hast XY gesagt … jetzt musst du das auch höchstpersönlich beweisen, sonst ist es nicht so“-Kommentar? Puh, das hat es mir jetzt aber gegeben. Dann musst du wohl recht haben!
Lass uns einen Deal machen, wenn in den nächsten 4 Jahren (immerhin werden laut Kalle ja in OSS die Sicherheitslücken erst nach 4 Jahren oder mehr gefunden) keine Sicherheitslücke in dem OS gefunden wird, welche in genau dieser Version schon vorhanden war, bekommst du n Keks. Falls doch bekomme ich einen 😉
Das war eine Antwort auf Pi-Nutzer, der behauptet hat, „mein“ Android sei eine einzige Sicherheitslücke. Wer solche Behauptungen aufstellt, sollte die auch belegen können.
Whoops, da bin ich tatsächlich mit den vielen Linien durcheinander gekommen, sorry!
Hey, Pi-Nutzer! Wir warten immer noch auf den Beleg für deine Behauptung, „mein“ Android sei eine einzige Sicherheitslücke!
Als ob’s da nur um Sicherheit geht. Die Firma virtualisiert unendliche viele Instanzen eines Betriebssystem in der Cloud und verletzt dabei die Lizenz und das Copyright. Das hat mit Fair Use nichts zu tun.
Alles klar Herr Rechts-und Sicherheitsexperte.
Kalle weiß es besser, als die Richter, die das Urteil gesprochen haben. Das ist ein ganz ein schlaues Kerlchen. Sieht man an seinen Kommentaren hier unter jedem Beitrag, der berechtigte Kritik an Apple äußert.
Statt Scheisse zu labern und persönlicher Attacken könntest du auch versuchen, das Argument mit deinen eigenen Worten zu entkräften. Aber du bist halt nur ein Freetard.
> könntest du auch versuchen, das Argument mit deinen eigenen Worten zu entkräften
Das muss ich gar nicht, das haben die Richter nämlich bereits getan.
> Aber du bist halt nur ein Freetard.
Und du ein dummschwätzender Apple-Fanboy.
> Das muss ich gar nicht
Mache wollen nicht mitdenken und sich eine Meinung bilden und lassen sich das von anderen abnehmen. Das ist vollkommen okay.
Manche verstehen nicht den Unterschied zwischen Fakten und eigener Meinung. Das ist ebenfalls vollkommen okay.
Gern geschehen.
Ist das wieder so ein Fall von „wenn wir das Unternehmen nicht haben können soll es niemand haben“?
Genau das. Apple ist halt auch nur ein Drecksladen wie alle anderen auch.
Und was genau unterscheidet jetzt den „Drecksladen“ Apple von dem Drecksladen, um den es in diesem Artikel geht?
Je größer, desto dreckiger.
Apple möchte den Leuten die Möglichkeit entziehen, einen kaulbreak zu veröffentlichen. Dieses Tool wird dafür gern genutzt.
Jailbreak*
Wer benutzt denn bitte Wecker?
Sorry völlig falscher Beitrag :-).