Apple: BSI warnt vor Sicherheitslücken in Mail-App von iOS
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor zwei Sicherheitslücken in Apples mobilem Betriebssystem iOS 13. Laut der Bundesbehörde handele es sich dabei um zwei schwere Risikofaktoren, die die iOS-App „Mail“ aller iOS-Versionen rückwirkend bis iOS 6 betreffen. Apple will umgehend nachbessern.
Mail-App hat schwere Sicherheitslücken seit iOS 6
Angreifern soll es demnach möglich sein, iPhones und iPads durch das Senden einer E-Mail zu kompromittieren. Danach soll dem Täter „potentiell das Lesen, Verändern und Löschen von E-Mails möglich“ sein, so das Bundesamt. Wie die Sicherheitslücke ausgenutzt wird, unterscheidet sich von iOS-Version zu iOS-Version. Bei iOS 13 kann das reine Empfangen einer schädlichen Mail ausreichen.
So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App "Mail" unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren.
Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich sind, ist Gegenstand weiterer Prüfungen.
BSI
Das BSI empfiehlt in seiner Pressemitteilung:
- Löschen der App „Mail“ oder Abschaltung der Synchronisation
- Nach Umsetzung von Punkt 1 kann zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegriffen werden
- Das von Apple angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es zur Verfügung steht
Sicherheitsunternehmen macht Apple Druck
Den Stein ins Rollen brachte das Sicherheitsunternehmen ZecOps mit einem Eintrag in seinem Blog. Das auf digitale Forensik spezialisierte ZecOps gibt an, bereits im Januar 2018 Angriffe über diese Lücken in freier Wildbahn gesehen zu haben.
The vulnerabilities exist at least since iOS 6 – when iPhone 5 was released. The earliest triggers we have observed in the wild were on iOS 11.2.2 in January 2018.
ZecOps
iOS 13.4.5 soll Schwachstellen beheben
Im aktuellen iOS 13.4.1 sind die Schwachstellen noch vorhanden. Apple soll durch die IT-Sicherheitsfirma direkt informiert worden sein und habe die Sicherheitslücke in der Beta-Version des Updates 13.4.5 bereits geschlossen. Bis dieses offiziell verteilt wird, soll es aber noch einige Tage dauern.
ZecOps will weitere Details veröffentlichen
Mit iOS vertraute Sicherheitsforscher fordern derweil mehr Details zur Ausnutzung der beiden Sicherheitslücken, wie Heise mit einem Verweis auf den Sicherheitsexperten und Hacker Dino A. Dai Zovi meldet.
ZecOps selbst hat derweil weitere Details in Aussicht gestellt, damit die Sicherheitsforscher besser nachvollziehen können wie die Schwachstellen ausgenutzt werden und der Schadcode schlussendlich in iOS 13 eingeschleust wird.
Apple gibt offizielles Statement ab
Der Website The Verge liegt mittlerweile ein offizielles Statement von Apple zu den Sicherheitslücken vor. Obgleich das Unternehmen in den Sicherheitslücken kein akutes Risiko erkennt, da die Sicherheitssysteme des iPhones oder iPads nicht umgangen werden könnten und bisher keinerlei Erkenntnisse zu erfolgreichen Angriffen vorliegen würden, werde Apple die Sicherheitslücken bald mit einem Update schließen.
Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher’s report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users.
The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers.
These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance.
Apple
Die Redaktion dankt Community-Mitglied „Falc410“ für den Hinweis zu dieser Meldung.
Fabian
Jan-Frederik