Apple hat eine Urheberrechtsklage gegen das Security-Startup Corellium in der ersten Instanz teilweise verloren. Dies hat der zuständige Richter (Rodney Smith) des Bezirksgerichtes in West Palm Beach (Florida) in einem Summary Judgement entschieden. Mit ihrer iOS-Virtualisierung verstoße das Startup nicht gegen das Urheberrecht Apples. Das Angebot falle unter die sogenannte „Fair-Use-Doktrin“ des US-Urheberrechts und sei damit erlaubt.
Was ist Corellium?
Corellium bietet eine fast perfekte virtuelle Kopie vom mobilen Betriebssystem Apples (iOS) an. Mit diesem Service können beispielsweise Schwachstellen im Betriebssystem entdeckt werden, ohne das man sich dafür selbst ein iPhone oder iPad kaufen muss. Genau diese virtuelle Kopie ging Apple zu weit und hat eine Klage gegen Corellium eingereicht.
Aus dem Urteil geht auch hervor, dass Apple bereits 2018 versucht hatte, Corellium zu übernehmen. Durch diesen Übernahmeversuch hat Apple Details zur Funktionsweise der Technik hinter Corellium erhalten.
Corellium bietet jedoch nicht eine exakte Kopie von iOS an, sondern modifiziert dieses. Somit ermöglicht das Security-Startup das anhalten von Prozessen, das Modifizieren des Kernels und die Ansicht von Systemaufrufen. Zusätzlich wird ein Datei- und App-Browser angeboten und Snapshots des Systems sind möglich.
Sicherheitslücken in iOS finden
Gerade für die Sicherheitsforschung zum auffinden von Lücken in iOS ist das Angebot von Corellium nahezu perfekt geeignet. Amanda Gorton, Chefin von Corellium, hatte Apple vorgeworfen, den Jailbreak für iPhones zu „dämonisieren“ und Bemühungen zu untergraben, Sicherheitslücken im System zu finden. Diesen Vorwurf hat Apple in dem Prozess mehrfach widersprochen und betont, dass das Unternehmen nur gegen Urheberrechtsverletzungen vorgeht und man nicht die Forschungen zur Sicherheit von iOS verhindern möchte.
Apple hat mittlerweile ein Programm gestartet, bei dem offene iPhones an Sicherheitsforscher verteilt werden. Jedoch haben viele bekannte Sicherheitsforscher die Teilnahme an diesem Programm abgelehnt, dazu zählt auch Googles Project Zero. Als Grund wird genannt, dass Apple den Veröffentlichungsprozess von gefundenen Schwachstellen selbst kontrollieren will.
Ob Corellium mit seinem Produkt gegen den Digital Millennium Copyright Act (DMCA) verstößt ist noch nicht geklärt. Apple wirft Corellium vor, den „Authentifizierungsserver, die Validierungsprüfung, Secure-Boot, das Buddy-Programm und den Trust Cache“ zu umgehen. Corellium wiederum beruft sich auf die im DMCA festgelegten Ausnahmen für das Testen der Sicherheit von Software und das Reverse Engineering.
Apple kann nun eine Berufung gegen das komplette Urteil anstreben oder versuchen, ausschließlich den DMCS Aspekt gerichtlich klären zu lassen. Wenn es weitere Entwicklungen in diesem Fall gibt halten wir euch auf dem Laufenden.
