Unerlaubter Festplattenvollzugriff
Entwickler-Frust: Apple will gemeldetes Sicherheitsproblem nicht sehen
Es ist kein Geheimnis, dass sich Apple nicht besonders engagiert zeigt, auf Fehlermeldungen zu reagieren. Immer wieder werden allerdings auch Fälle publik, in denen es um Sicherheitsprobleme geht, die bei Apple offenbar nicht ausreichend ernst genommen werden. Aktuell berichtet die Entwicklerin des E-Mail-Backup-Programms Mail Archiver über einen solchen Fall.
In einem Blog-Eintrag beschreibt die Entwicklerin der App, dass sie Apple im September vergangenen Jahres darüber informiert hat, dass ihr Programm in bestimmten Situationen auch dann noch Zugriff auf das Mail-Verzeichnis eines Nutzers hat, wenn dieser die dies eigentlich regulierende Einstellung zum Festplattenvollzugriff widerrufen hat.
Das Problem hängt offenbar mit dem Update von macOS Ventura auf das aktuelle macOS Sonoma zusammen und lässt sich durchaus in die Kategorie „Sicherheitsrelevant“ einstufen. Schließlich geht ein Nutzer zurecht davon aus, dass eine App ohne die Erlaubnis zum Festplattenvollzugriff auch nicht mehr auf seine Daten zugreifen kann.
Apple kann kein Sicherheitsproblem identifizieren
Verschiedene Entwickler konnten das Problem auch im Zusammenhang mit weiteren Apps reproduzieren. Apple war allerdings der Meinung, dass hier kein Sicherheitsproblem erkennbar wäre und hat den Fehlerbericht inzwischen geschlossen. Schon zuvor war die Reaktion Apples auf den Hinweis zweifelhaft. So habe den Apple-Mitarbeitern eine detaillierte Beschreibung der zum Problem führenden Vorgehensweise nicht genügt und die Entwicklerin musste ihre Meldung noch um Videos, Code-Schnipsel und Screenshots ergänzen.
Auch wenn die beschriebene Problematik vergleichsweise speziell ist verwundert es, dass Apple auf ein Problem hin, bei dem persönliche Daten von Nutzern betroffen sind, derart wenig Engagement zeigt. Die in den Systemeinstellungen angezeigte Information zum Festplattenvollzugriff der betroffenen Anwendungen spiegelt dem Nutzer hier schlichtweg falsche Tatsachen vor.
Menschen welche bugs und speziell Sicherheitslücken melden sollte man Geld und ein Danke geben, sie machen den Job welchen eigentlich die interne Qualitätskontrolle machen sollte. Wenn man sich so verhält schadet es dem Image und langfristig auch dem Produkt.
Apple wie immer auf dem hohen Ross, wir bestimmen was ein Bug ist und nicht andere!
Achtung steile These: „Einige Sicherheitlücken muss Apple drin lassen, damit die Geheimdienste ihre Hintertüren haben“
Vielleicht ist es ein „Apple-Feature“? Aber was weiß ich schon.
in großen konzernen läuft es leider häufig so ab.
schulterzuckmentalität bei den sachbearbeitern
-> medienecho, aufgrund ausbleibender fehlerbehebung
-> thema wird (wegen marketingbedenken) von oben eingegossen
-> thema wird stillschweigend behoben
-> nächste keynote: we are awesome
erstaunlich wie oft das so läuft. mal sehen wie es hier am schluß ausgeht.
So ist es!
Veröffentlichten. Was soll’s‽ Wenn Apple nicht reagiert: die Öffentlichkeit informieren…
„Apple war allerdings der Meinung, dass hier kein Sicherheitsproblem erkennbar wäre und hat den Fehlerbericht inzwischen geschlossen. “
Keine Reaktion also?
Apple reagiert nur wenn die Presse berichtet. Also gut so liebes iFun Team!
Hast du den Artikel gelesen? Apple hat doch reagiert.
In die komplett falsche richtung! Es muss schon richtig reagiert werden!
Ahja
Und wer legt nun fest was richtig ist?
@HETZENzhbabbler, das man dir das erklären muss ist traurig. Die richtige Reaktion wäre es, es ernst zu nehmen, da Apps weiter Zugriff auf deine Daten haben, welche du eigentlich widerrufen hast.
Apple tönt doch immer bezüglich Datenschutz und Sicherheit wenn es um die Öffnung des Systems geht, bekommt es aber hier nicht gebacken.
Apple hat es doch untersucht und es ist kein Fehler.
Scroll mal etwas runter. Es ist per se erstmal kein Fehler. Man müsste um das zu verstehen aber die Logik verstehen.
Sie könnten z. B. erklären warum es für sie kein Fehler darstellt, aber das machen sie nur sehr ungern.
@HETZENzhbabbler
naja, es ist „aus Sicht von Apple“(scheinbar) kein Fehler, das ist ein Unterschied!
– jedenfalls sollte das Setzen einer Option auch genau das bewirken, und nichts anderes…
@Hetzen hat wie immer recht. Apple hat hier vollkommen zurecht gearbeitet. Wem Datenschutz wichtig ist, holt sich halt was vernünftiges für alle anderen gibt es halt backdoors :)
Ach. Apple hat sich um die Provision gedrückt die man doch erhalten kann wenn man Sicherheitsrelevante Informationen mit Apple teilt. Eigentlich gibt es dafür Geld. Oder nicht?
Bei Apple so gut wie nie
Zugriff nur auf auf ein Verzeichnis (das Mailverzeichnis) ist auch kein Festplattenvollzugriff.
naja kann also jedes Tool nebenbei meine Mails auslesen ohne das ich’s merke?
Naja egaaal, das liegt eh schon alles durch analysiert auf diversen Servern
Es ist einfach unglaublich wie fanboys alles verniedlichen, weil sie apple blind vertrauen!
nein. Es geht darum präzise zu sein.
Ja, Hal.
Wenn man nichts vom Thema versteht, zieht immer die Fanboy-Keule.
Generell: Fachliche Richtigkeit GERADE bei BUG-Reports ist sehr sehr wichtig. Ich hoffe ja, dass eine Anwendungsentwicklerin das kann. Ansonsten kann man das ja noch weiter eskalieren lassen BEVOR man die Presse einschaltet – aber hey, let’s talk about business.
Festplatten-Vollzugriff ist doch etwas anderes, als den Zugriff auf ein bestimmtes Verzeichnis zu erlauben. Wenn man den Festplatten-Vollzugriff nicht erlaubt hat, kann man trotzdem auf einige Verzeichnisse Zugriff erlauben, indem man diese Verzeichnisse explizit auswählt.
Der Festplatten-Vollzugriff erlaubt nur, dass die Applikation auch unabhängig davon jede beliebige andere Location benutzen darf (ohne zu erneut zu fragen). Vermutlich ist es nun so, dass alle bereits einmal benutzten Verzeichnisse weiterhin benutzbar bleiben, auch wenn man den Festplatten-Vollzugriff wieder ausschaltet.
so ähnlich ist es im Blog beschrieben.
Gehen Sie weiter, hier gibt es nichts zu sehen!
Apple ist und bleibt dumm und sitzt auf einem sehr hohen Roß, nur Hochmut kommt vor dem Fall
++++++1
Kindergarten?
NSA: „Hier spricht Apple. Es liegt kein Sicherheitsproblem vor, seien Sie ganz beruhigt.“
Wer sich fragt, warum bei einer neuen OS-Version so viele (oft scheinbar offensichtliche) Fehler enthalten sind obwohl es doch so lange Alpha/Beta Versionen und einen großen Testerkreis gab…
… genau deshalb!
Weil gemeldete Fehler ignoriert oder geschlossen werden. Oder als Duplikate markiert werden aber man als Meldener keine Chance hat den Fall dann um Details zu ergänzen oder ihm gar zu folgen.
Und wem das 2-3x passiert ist und die gemeldeten Fehler dann im Release sind, dann überlegt man nächstes mal sehr genau, ob man sie die Mühe der Meldung überhaupt machen möchte