News Apple: BSI warnt vor Sicherheits­lücken in Mail-App von iOS

[SVΞN]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor zwei Sicherheitslücken in Apples mobilem Betriebssystem iOS 13. Laut der Bundesbehörde handele es sich dabei um zwei schwere Risikofaktoren, die die iOS-App „Mail“ aller iOS-Versionen rückwirkend bis iOS 6 betreffen. Apple will umgehend nachbessern.

Zur News: Apple: BSI warnt vor Sicherheits­lücken in Mail-App von iOS

 

[Otsy]

Ich teile die Einschätzung des BSI in diesem Fall. Es ist gut, dass Apple den Kern der Anfälligkeit bereits identifizieren und prinzipiell versiegeln konnte, siehe iOS Beta-Build.

 

[Axxid]

Wenn es erst durch das BSI bekannt gemacht wird, ist es eigentlich schon lange zu spaet...

 

[adny]

Danke für die Info.
Wird das ganze auch für iOS 12 gefixt? Sprich iPhone 6 und 6+?

Und zwischen 13.4.1 und 13.4.5beta, wo es "bereits" geschlossen sein soll, liegen ein paar Versionen..

Das Ganze war sehr schwach Apple.

 

[Sturmwind80]

Für den Firmenbereich ist das sicherlich relevant. Bei mir im Privatbereich finde ich es eher unwichtig, da ich meistens eh nur Werbemails, Bestellbestätigungen usw. bekomme. Außerdem ist das nur sinnvoll, wenn der Angreifer einen direkt aussucht. Trotzdem kann es nicht schaden, wenn die Lücke schnell geschlossen wird. ;-)

 

[Ju1ius]

Genau das was “die” doch mit dem “BundesTrojaner” wollen? Ich mach mir kaum Sorgen um irgend welche Hacker die eventuell mal jemanden hacken, als viel mehr um staatlich groß angelegte Rasterfahndungs Überwachung.
Wenn eine Bundesinstitution über solche Sicherheitslücken warnt und im Ministerium neben an genau diese Lücken benutzt werden sollen ist das schon irgendwie eine lachhafte Pressemeldung

 

[tochan01]

2018 bereits bekannt.... Hat Apple jetzt erst reagiert oder hat die Sicherheitsfirma jetzt erst Apple informiert und vorher Kasse gemacht bei anderen "Institutionen"?

 

[adny]

.. Bei mir im Privatbereich finde ich es eher unwichtig ..

schön für dich..
lesen, verändern und löschen von Emails kann theoretisch sehr viel machen, was sehr viele betreffen kann.
da du sagst dir egal, nutzt du amazon/ebay/paypal oder dergleichen? theoretisch könnte man über die schwachstelle zugriff darauf erhalten. klar gibt es noch anderes zu beachten, aber nur mal so, weil du meinst, für dich alleine irrelevant.. für sehr viele andere user ist das nicht irrelevant.

 

[corvus]

Einfach die Standard-Email-App ändern.... oh halt, das geht ja gar nicht.

 

[adny]

Einfach die Standard-Email-App ändern.... oh halt, das geht ja gar nicht.

1. ist glaub in planung
2. du kannst sie löschen, damit kann es ja nicht mehr standard sein, was das dann bedeutet 🤔

 

[Jasmin83]

mein leben ist eh so langweilig, das kein angreifer mit der information, das ich bei zooroyal katzenfutter bestellt hab oder mir essie nagellack in really red oder spring in your step irgendwas relevantes anfangen kann. die mail app, wurde seit ios 11 aber auch immer nur schlechter bisher. inzwischen gehts tatsächlich seit dem letzten update wieder, aber ich hoffe die wird grundsätzlich mal überarbeitet. aber auch wenn mein leben zu langweilig ist, freue ich mich natürlich, das die lücke dann bald zu ist, allerdings bis von .1 auf .5 ein update kommt, werden wohl noch wochen oder vielleicht monate ins land gehen..

 

[devebero]

Denke ich eher nicht. Das wird im nächsten Update kommen. Apple ist doch bei den Betas gerne mal mit den Nummern voraus. Oder gibt es ne Beta 13.4.2 und 13.4.3 und 13.4.4? Dann hab ich nichts gesagt

 

[hassbrot]

mein leben ist eh so langweilig, das kein angreifer mit der information, das ich bei zooroyal katzenfutter bestellt hab oder mir essie nagellack in really red oder spring in your step irgendwas relevantes anfangen kann. die mail app, wurde seit ios 11 aber auch immer nur schlechter bisher. inzwischen gehts tatsächlich seit dem letzten update wieder, aber ich hoffe die wird grundsätzlich mal überarbeitet. aber auch wenn mein leben zu langweilig ist, freue ich mich natürlich, das die lücke dann bald zu ist, allerdings bis von .1 auf .5 ein update kommt, werden wohl noch wochen oder vielleicht monate ins land gehen..

Etwas weiter denken. Der Hacker geht zu zooroyal nachdem er dein Email Konto übernommen hat. Klickt auf Passwort vergessen, fängt die Email ab und hat nun Zugang zu deinem Konto.
Das gleiche macht er bei Paypal, wenn keine 2FA aktiviert ist und dann kann er munter bestellen.
Die Lücke sollte sofort geschlossen werden. Eine Frechheit, dass diese sogenannte Sicherheitsfirma es so lange nicht an Apple gemeldet hat. Bzw. hätte man mit dem veröffentlichen warten sollen, bis das Update da ist.

 

[Falc410]

@SV3N vielleicht hättet ihr noch diesen Absatz von heise.de mit aufnehmen sollen:

Mit iOS intim vertraute Sicherheitsforscher fordern mehr Details zu einer möglichen Ausnutzung der Schwachstellen: Ihm erschließe sich noch nicht, wie sich die von ZecOps beschriebenen Crashes dafür einsetzen lassen, das Einschleusen von Schadcode in iOS 13 zuverlässig zu ermöglichen, schreibt beispielsweise der Hacker Dino A. Dai Zovi. ZecOps hat inzwischen in Aussicht gestellt, weitere Details veröffentlichen zu wollen.

Quelle: https://www.heise.de/mac-and-i/meld...Luecken-in-Apple-Mail-angreifbar-4707901.html

Ich bin auch noch skeptisch wie schwerwiegend diese Schwachstelle tatsächlich ist. Solange es keinen Proof-of-Concept gibt, können andere Leute das nur schwer einschätzen. Kann sein, dass man damit nur das iPhone bzw. die Mailapp zum Absturz bringt, aber es könnte auch sein, dass man dauerhaft damit Schadsoftware einschleusen kann (unsigned Code). Das wäre dann ja der perfekte Jailbreak. Wird aber noch nicht gemacht - also alles etwas merkwürdig im Moment.

 

[adny]

Unter iOS 13 ist der Fehler noch schwerwiegender, hier musste der Angreifer nicht einmal mehr den Mailserver unter Kontrolle haben. Die Mail-App muss ausschließlich im Hintergrund laufen, der Nutzer muss auch keine verseuchte Mail mehr explizit öffnen.

sogar noch schlimmer als gedacht
https://www.apfeltalk.de/magazin/feature/ios-kritische-sicherheitsluecke-in-mail-app/

 

[Edward N.]

An alle die hier schreiben "ist ja nicht so schlimm, bin nicht so wichtig":
Dann veröffentlicht hier doch bitte eure kompletten Kontaktdaten (Name, Straße, PLZ, etc.) und Nicknames bei allen Onlinediensten die ihr benutzt. Wie macht ihr nicht? Ihr seid doch laut eigener Aussage nicht so wichtig, also los macht doch mal.

@Topic
Ist mir befremdlich, warum so eine Lücke so lange nicht gefixt wurde, da ist man doch schnell bei "höheren Interessen" ... sollte eigentlich einen Untersuchungsausschuss zu solchen gravierenden Lücken geben, wenn die aus Gründen nicht zeitnah (sprich ASAP) gefixt werden. Denn es gibt einfach viel zu viele betroffenen Menschen.

 

[corvus]

1. ist glaub in planung
2. du kannst sie löschen, damit kann es ja nicht mehr standard sein, was das dann bedeutet 🤔

Es ist angedacht. Planung ist schon zu optimistisch.

Android hat nun auch nicht die besten kostenlosen Apps, aber die 10e für Aquamail pro waren super angelegt.

Zig Konten drin mit allen möglichen Typen (Exchnage 2010-2016 onprem, Office365, IMAP Google / Posteo) und die Apps läuft 1a. Super Einstellungen, keinerlei Abstürze oder irgendwas. Da tun mir die iOS User echt leid (und nur für Protokoll, Gmail ist auch kacke, wir beider Kontenkombination die ich nannte super instabil).

 

[Jasmin83]

Das gleiche macht er bei Paypal, wenn keine 2FA aktiviert ist und dann kann er munter bestellen.

Welches Paypal? Wenn ich die möglichkeit zu 2FA habe, nutze ich diese Möglichkeit selbstverständlich auch. Zumal ich bei den meisten händlern als Gast bestelle, sofern es geht, dann hab ich auch das generve mit den super "angeboten" nicht, die dann immer vom mindestbestellwert gerade nicht reichen

 

[Marcel55]

Tjoa kein System ist perfekt, auch wenn die Nutzer dieses Herstellers das gerne behaupten.
Aber Lücken wird es immer und überall mal geben. Fixen und gut ist.

 

[just_fre@kin]

Einfach die Standard-Email-App ändern.... oh halt, das geht ja gar nicht.

Bis jetzt bin ich knapp 13 Jahre sehr gut damit gefahren. Wenn das Problem durch das Update in den kommenden Wochen behoben wird, bin ich zufrieden. Apple ist auch nur eine Firma, die genauso Fehler macht wie Andere. Außerdem bieten einzelnen Dienste wie Googlemail oder Outlook eine separate App an, ganz hilflos ist man also nicht.

Immerhin ist mein Betriebssystem ansonsten vergleichsweise sehr sicher, sodass ich nicht in permanenter Angst leben muss oder mir irgendwelche Antivirenprogramme laden muss, wie es bei Konkurrenzprodukten Normalität ist.