Zero-Day-Lücken 24.04.2020, 08:42 Uhr
BSI warnt vor iOS-Mail-App
Sicherheitsexperten warnen Nutzer der iOS-App «Mail» davor, sie derzeit zu benutzen. Ein Patch ist noch nicht verfügbar. Die beiden entdeckten Sicherheitslücken werden vom BSI als «sehr kritisch» eingestuft.

Die iOS-App «Mail» ist von zwei schwerwiegenden Sicherheitslücken betroffen. Nutzer von iPhones und iPads seien über das Mailprogramm von Apple bereits angegriffen worden, berichtet «Tages-Anzeiger». Diese Schwachstellen werden sogar bereits seit längerer Zeit für gezielte Angriffe eingesetzt, warnte die Sicherheitsfirma ZecOps Anfang Woche in einem Blog-Eintrag (Englisch)


Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt nun vor der Verwendung des Apple-Mailprogramms für iPhones und iPads. Durch die Schwachstellen sei potentiell «das Lesen, Verändern und Löschen von E-Mails möglich». Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich seien, sei Gegenstand weiterer Prüfungen, so die Behörde. Das BSI schätzt diese Schwachstellen als «sehr kritisch» ein.

Je nach iOS-Version können die Schwachstellen unterschiedlich ausgenutzt werden. Unter iOS 13 kann gemäss Behörde das reine Empfangen einer schädlichen Mail ausreichen, um die Schwachstelle auszulösen. Unter iOS 12 und älter muss die E-Mail dazu auch durch die Nutzerin oder den Nutzer geöffnet werden. Die Mac-Version soll nicht betroffen sein.

Patch soll mit nächstem iOS-Update kommen

Bislang stehen noch keine offiziellen Patches zur Verfügung. «Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen», wird BSI-Präsident Arne Schönbohm im Communiqué zitiert.

«Heise Online» berichtet, der Hersteller habe die Lücken zwar mittlerweile behoben, aber nur in einer Beta-Version (iOS 13.4.5), welche nicht allgemein verfügbar ist.
Bis Apple einen offiziellen Patch veröffentlicht, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik, die Mail-App zu deinstallieren oder auf alternative E-Mail-Clients umzusteigen.

Autor(in)
Claudia Maag


Quelle: BSI warnt vor iOS-Mail-App - pctipp.ch

Unsichtbare Angriffe per E-Mail seit 2010
iPhone & iPad: Sicherheitslücke in Mail-App betrifft alle iOS-Geräte!
Die Mail-App auf iPhone und iPad hat eine kritische Sicherheitslücke. Nach Entdeckung, BSI-Warnung und Apples Entwarnung kommt raus: Es ist schlimmer!

Aus einem neuen Blog-Post von ZecOps geht hervor, dass die Sicherheitslücke in der Mail-App von iPhones und iPads bis 2010 zurückreicht - bis zum Release des ersten iPhones (iPhone 2G). Die Lücke ließ sich auf iOS 3.1.3 ausnutzen. ZecOps betont und ist sich sicher, dass Angriffssoftware für das Leck seit ebenjenem Jahr 2010 besteht.

Laut Forbes betrifft das mindestens über 900 Millionen weltweit aktive iPhones. Mindestens, weil weitere iOS-Geräte wahrscheinlich noch irgendwo verstauben und womöglich noch einmal zum Einsatz kommen können. Apple möchte aber weder von seinem initialen Statement (siehe unten) abweichen noch die neuen Funde von ZecOps kommentieren.

Die Lücke wird mit dem Update auf iOS 13.5 geschlossen (ehemals 13.4.5). Das lässt wiederum noch über fünf Wochen auf sich warten. Es gilt somit weiterhin die Empfehlung des BSI, die Mail-App zu löschen oder auf einen alternativen Mail-Client umzusteigen.

Originalmeldung vom 24.03.2020

Die iOS-Sicherheitslücke in der Mail-App von iPhones und iPads zieht weitere Kreise. Nach der Firma ZecOps (siehe Originalmeldung) warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das BSI schätzt die Schwachstelle als sehr schwerwiegend ein. Im Gegensatz zu typischen Attacken via E-Mail reicht es, wenn ein Nutzer eine entsprechend präparierte E-Mail lediglich aufruft. Es bedarf zumindest bei iOS 13 keines zusätzlichen Dateianhangs, den der Nutzer öffnen muss.

• Aktueller Hinweis (06.05.2020): Fast zwei Wochen nach Bekanntwerden der Schwachstelle in Apples Mail-App rückt eine weitere iOS-Sicherheitslücke in den Fokus. Diese soll schon mindestens drei Jahre bestehen.
  

Das BSI empfiehlt eine Deinstallation der Mail-App oder eine Deaktivierung der Synchronisation von Konto und App. Anschließend sollen Nutzer auf andere Apps für E-Mails umsteigen (siehe Originalmeldung). Wann das gepatchte iOS 13.4.5 veröffentlicht wird, ist noch unbekannt.

iOS ab mindestens (!) Version 6 sei von der Sicherheitslücke in der Mail-App betroffen. Das ist im Herbst 2012 erschienen - zusammen mit dem iPhone 5. Von ZecOps beobachtete Angriffe reichen dabei bis Januar 2018 zurück.

Apple-Statement (Nachtrag um 14:00 Uhr)

In der Zwischenzeit hat Bloomberg-Journalist Mark Gurman ein Apple-Statement veröffentlicht. Demnach gebe es für iPhone- und iPad-Nutzer keine direkte Gefahr. Die Forscher hätten drei Lücken identifiziert, die Apple nach nicht ausreichen, um die Sicherheitsmechanismen der iOS-Geräte zu umgehen. In der Tat sagte ZecOps, dass eine weitere Kernel-Lücke zur vollständigen Übernahme nötig sei.

Zudem gebe es laut Apple keine Hinweise auf bereits erfolgte Angriffe. Das widerspricht sich mit den Aussagen der Sicherheitsexperten. Dennoch werde Apple die potenziellen Risiken bald mit einem Software-Update beheben.

Originalmeldung vom 23.04.2020

Cyberkriminelle können über die vorinstallierte Mail-App von Apples iOS allerlei Schadcode auf iPhones und iPads ausführen, ohne dass der Nutzer etwas davon merkt. Schlagen Angriffe fehl, sind u.a. kryptische Mails mit Darstellungsfehlern in der App vorzufinden - oder Abstürze derselbigen. Die kritische Sicherheitslücke steckt in iOS 13 - inklusive der aktuellen Version iOS 13.4.1.
Unter iOS 12 sollen Angreifer zusätzlich Zugriff auf den Mail-Server benötigen, um die Lücke auszunutzen. Alternativ muss das Opfer mit iOS-12-Gerät zum Öffnen manipulierter Nachrichten gebracht werden. Das entfällt beim aktuellen Update und macht die Lücke daher so gefährlich für iPhone und iPad.

Die Sicherheitsfirma „ZecOps“ warnt, dass bereits Angriffe auf Nutzer von iOS-Geräten wie iPhone und iPad beobachtet worden sind – darunter Geräte in Firmen, von „VIPS“ und sogar bei Sicherheitsdienstleistern. Angreifer erhalten durch die Lücke Zugriff auf die Mail-App. Kommt das Ausnutzen weiterer Lücken dazu, könnte das ganze iOS-Gerät übernommen werden.

Apple wurde vorab informiert und hat die Lücke in der iOS-Beta 13.4.5 geschlossen. Das Update wird aber noch nicht verteilt. ZecOps hat sich vor Veröffentlichung des Updates zur Bekanntgabe der Lücke entschlossen. Während Nutzer auf das iOS-Update warten, sollen sie die Mail-App im Idealfall nicht mehr nutzen. Die Sicherheitsfirma glaubt, dass die Lücke schon seit geraumer Zeit besteht und auch entsprechend lange ausgenutzt wird.

Mail-App auf iPhone und iPad unsicher: Was tun?

ZecOps gibt den Tipp, auf eine alternative App für E-Mails auszuweichen und Apple Mail nicht mehr zu nutzen. Wer kann, installiert die Public Beta von iOS 13.4.5. Für alle anderen bietet es sich an, bei lokalen Postfächern Backups zu erstellen und sie anschließend in einer anderen App zu importieren.

Empfehlenswerte und vertrauenswürdige Apps, die POP3 und IMAP unterstützen, wären unter anderem Google Mail oder Microsoft Outlook. Wie Sie E-Mails von Ihrem Apple-Account mit anderen Apps aufrufen, erklärt Apple auf dieser Webseite mit den passenden Einstellungen für Mail-Server und mehr.

14.5.2020 von The-Khoa Nguyen


Quelle: iPhone & iPad: Sicherheitslücke in Mail-App betrifft alle iOS-Geräte! - connect