Mel
Die mit jedem iPhone und iPad ausgelieferte Mail-App von Apple, die sicherlich bei vielen Usern im Einsatz ist, weist zwei gravierende Sicherheitslücken auf – und das bereits seit mindestens 2012. Seit iOS 6 ist es Angreifern potentiell möglich, beliebigen Code im Rahmen der Mail-Anwendung auszuführen und so Schaden anzurichten, wie die Sicherheitsforscher von ZecOps herausgefunden haben.
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, berichtet auf der eigenen Website von „zwei schwerwiegenden Sicherheitslücken“ und „schätzt diese Schwachstellen als besonders kritisch ein“.
„Angreifern ist es dadurch möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich sind, ist Gegenstand weiterer Prüfungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Für die insgesamt zwei Schwachstellen stehen bislang keine Patches zur Verfügung. Medienberichten zufolge werden die Schwachstellen bereits aktiv ausgenutzt. So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App ‚Mail‘ unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren.“
Das gefährliche an diesen Sicherheitslücken: Je nach iOS-Version braucht es dazu nicht einmal eine aktive Aktion des Nutzers. Bei iOS 13 beispielsweise reicht laut BSI schon „das reine Empfangen einer schädlichen Mail, um die Schwachstelle auszulösen“, bei iOS 12 und älteren Betriebssystemen muss die entsprechende Mail auch vom User geöffnet werden.
Angreifer können E-Mails lesen, verändern und löschen
Der Nutzer eines betroffenen iOS-Geräts würde von einem solchen Angriff außer einer zeitweise verlangsamten Mail-App nichts mitbekommen. Lediglich ein gescheiterter Angriffsversuch soll sich durch eine Fehlermeldung in der Mail-App, „Der Inhalt dieser E-Mail kann nicht dargestellt werden“, zeigen. Diese Meldung kann aber auch im im normalen Betrieb auftreten, so dass es nur schwer nachzuvollziehen ist, ob ein Angriff von außen dahinter steckt. Eine komplette Übernahme des Geräts durch einen Angriff ist zwar nicht möglich, allerdings kann auf diese Weise Zugriff auf E-Mails erfolgen, diese verändert oder auch gelöscht werden. Das Team von ZecOps weist ebenfalls darauf hin, dass diese Exploits durchaus auch von staatlicher Seite aus genutzt wurden, beispielsweise zur Überwachung von Personen.
Apple selbst hat sich kürzlich in einer Stellungnahme zur Schwachstelle in der eigenen iOS-Mail-App geäußert und das Problem als „kein unmittelbares Risiko“ für den Nutzer dargestellt.
„Apple nimmt alle Berichte über Sicherheitsbedrohungen ernst. Wir haben den Bericht des Forschers gründlich untersucht und sind auf der Grundlage der bereitgestellten Informationen zu dem Schluss gekommen, dass diese Probleme kein unmittelbares Risiko für unsere Benutzer darstellen. Der Forscher hat drei Probleme in Mail identifiziert, aber nur diese allein sind nicht ausreichend, um den Sicherheitsschutz für iPhone und iPad zu umgehen, und wir haben keine Beweise dafür gefunden, dass sie gegen Kunden verwendet wurden. Diese potenziellen Probleme werden in Kürze in einem Software-Update behoben. Wir schätzen unsere Zusammenarbeit mit Sicherheitsforschern, um die Sicherheit unserer Benutzer zu gewährleisten, und werden die Unterstützung des Forschers anerkennen.“
Empfohlen wird daher derzeit, Apples Mail-App unter iOS nicht zu verwenden, die Synchronisation abzuschalten und auf Alternativen zurückzugreifen. Apple soll auch schon an einem Patch arbeiten, der schnellstmöglich mit dem kommenden iOS-Update auf v13.4.5 eingespielt werden wird. Da Apple über das Problem informiert wurde, ist davon auszugehen, dass die Sicherheitslücke schon bald geschlossen wird. iOS 13.4.5 befindet sich aktuell noch in der Betaphase, dürfte aber aufgrund des aktuellen Problems schon bald ausgerollt werden.
Marlene
Erst das VPN Problem jetzt 2 Sicherheitslücken die seit 2012 bestehen. Mann Mann Mann.
….seit 2012!?!?
Apple: „…wir nehmen das sehr ernst ? ?“
@whale: Und wenn die Lücke schon seit 1875 bestehen würde, es spielt keine Rolle.
Wichtig ist, seit wann sie bekannt ist und, noch wichtiger, ob sie in der Realität ausnutzbar ist um Schaden anzurichten.
Software, die komplexer ist als nur „Hello World“ auszugeben, hat schon immer und wird immer Schwachstellen haben.
Kein unmittelbares Risiko? Damit kann jegliche 2 Faktor Authentifizierung (zb. Steam/Origin/uplay/etc.) umgangen und alle Konten kompromittiert werden sofern die gleichen email Adressen genutzt wurden. Ich sehe das als ziemlich kritisch!
Was soll Apple sonst behaupten? Zugeben, dass die Sicherheitslücke, die seit 2012 (!!!) bekannt ist extra kritisch ist? Und sich dann rechtfertigen müssen, warum es nicht für nötig gehalten wurde, diese Schwachstellen innerhalb 8 Jahren zu schließen 😉
Die Sicherheitslücke besteht zwar seit 2012, aber ist Apple nicht schon seit dem bekannt, sondern seit kurzer Zeit. Man kann einen Bug nur beheben, wenn man auch davon weiß.
Ja das habe ich gemerkt. Hab in den vergangenen Wochen mehrmals das Passwort geändert und mich gewundert, warum Werbemails vom meinen Account versendet werden oder weitere Email Adressen angelegt worden sind. Ok werde sie erstmal nicht mehr nutzen
Absender fälschen ist doch Easy .
Die kommen bestimmt nicht von deinem Provider .
Die Email waren in meinem Gesendet Ordner. Fand ich nicht so cool. Auch die weiteren neuen Email Adressen waren in mein Account vorzufinden
Ganz schlecht Apple, ganz schlecht ?
Das darf nicht sein und so kenne ich Apple auch nicht
Ps vielen Dank für den Hinweis
Welche Alternative Mail-App würdet ihr empfehlen?
Entweder wirklich über den Browser anmelden oder wenn vorhanden die App des Providers nutzen
Spark
https://apps.apple.com/de/app/spark-e-mail-app-von-readdle/id997102246
Spark ist alles andere, aber keine Empfehlung. Die speichern die Zugangsdaten deiner E-Mail Konten auf ihren Servern. Selbst wenn man den Betreibern vertraut, bleibt immer noch das Risiko, dass die Zugangsdaten bei einem Hack des Servers in falsche Hände geraten. In Unternehmen sind solche Apps sogar verboten und das nicht ohne Grund.
Die Installation der aktuellen Beta ist kein Hexenwerk und behebt das Problem. Klar ist das ein minimaler Mehraufwand, aber so what.
Das BSI ist auf die bisher nicht wirklich nachgewiesene Behauptung von ZecOps reingefallen. Bisher gibt es keinen PoC, dass man mit der Schwachstelle mehr anfangen kann als die Mail-App zum Absturz zu bringen. Aus meiner Sicht besteht keine Notwendigkeit, die Mail-App zu deinstallieren. Wer es ganz genau wissen will, kann sich das hier durchlesen:
nakedsecurity.sophos.com/2020/04/23/iphone-zero-day-dont-panic-heres-what-you-need-to-know/
Soviel Recherche wäre mal bei einem der vielen Copy&Paste Newsdienste „nett“.