News Apple: BSI warnt vor Sicherheits­lücken in Mail-App von iOS

[corvus]

Bis jetzt bin ich knapp 13 Jahre sehr gut damit gefahren. Wenn das Problem durch das Update in den kommenden Wochen behoben wird, bin ich zufrieden. Apple ist auch nur eine Firma, die genauso Fehler macht wie Andere. Außerdem bieten einzelnen Dienste wie Googlemail oder Outlook eine separate App an, ganz hilflos ist man also nicht.

Also wäre bei Android Gmail als nicht abänderbarer Standard drin hätte ich kein Android. Aber jeder wie er mag. Microsoft hatte Ärger wegen eines vorinstallierten Browsers, den man aber problemlos abwählen konnte. Apple darf Standardapps vorschreiben. Rate mal, was ich für schwerwiegender halte.

Und die Lücke ist steinalt, ich wäre damit nicht zufrieden.

 

[getexact]

@corvus: also ich weiß nicht genau was du meinst. Die Mail App lässt sich natürlich abändern. Du kannst jeden anderen Maildienst und Mail App als deinen Standard nutzen. Du musst nicht die App von Apple nutzen. WIe kommst du darauf?

 

[adny]

.. Wenn ich die möglichkeit zu 2FA habe, nutze ich diese Möglichkeit selbstverständlich auch. Zumal ich bei den meisten händlern als Gast bestelle..

Das ganze ist ein Beispiel von vielen, wieso die Sicherheitslücke durchaus ein größeres Problem darstellen kann.
Glückwunsch dass du es für dich nicht relevant hälst.

Die Sicherheitslücke ist mit iOS 13 nochmals deutlich gefährlicher geworden. Es gibt sehr viele sehr mächtige Online Konten auf die man hierdurch Zugriff erlangen könnte. Es macht überhaupt keinen Sinn darüber zu diskutieren, die Lücke sollte schon viel länger und mit viel mehr Nachdruck gefixt sein.

 

[cc0dykid]

Wenn es erst durch das BSI bekannt gemacht wird, ist es eigentlich schon lange zu spaet...

Das wurde schon vor zwei Tagen "bekannt gegeben", aber deutsche Medien/BSI haben das erst jetzt aufgegriffen.
Und wie das so üblich ist in der Branche, wurde erst einmal Apple darüber informiert und ausreichend Zeit gelassen, um den Fehler zu beheben.
In welchem Kontext jetzt "lange zu spät" steht, erschließt sich mir nicht.

Ich bin eher froh, dass Menschen das Update überhaupt bekommen. Das ist 2020 noch immer nicht selbstverständlich.

 

[knoxxi]

Ich habe lange Spark benutzt, bin aber seit nem Jahr ungefähr wieder bei Apple Mail. Denn Spark hatte mal ne Phase wo es ein Akku-Killer war und der Hauptverbraucher.

 

[Floppy5885]

Also wäre bei Android Gmail als nicht abänderbarer Standard drin hätte ich kein Android. Aber jeder wie er mag. Microsoft hatte Ärger wegen eines vorinstallierten Browsers, den man aber problemlos abwählen konnte. Apple darf Standardapps vorschreiben. Rate mal, was ich für schwerwiegender halte.

Und die Lücke ist steinalt, ich wäre damit nicht zufrieden.

kennst dich scheinbar kein Stück mit Apple aus. Man kann von Anfang an eine andere Mail App aus dem Appstore Nutzen.

War zu erwarten.
Aber dafür sieht das Telefon gut aus.
Ach ne ....
Egal

Das Konzept von Apple ist halt total bescheiden.

Achso und das Konzept von Google oder Diverse andere Hersteller ist natürlich besser?
Und Design ist denke ich mal auch Geschmacksache. Tellerrand und so....

 

[Stuntmp02]

Ich hatte extra Updates deaktiviert, damit ich in der staatlichen Überwachung durch Bluetooth Tracing entgehe. Ich werde mir das Changelog dieses Updates ganz genau durchlesen, wenn da dieses Contact Tracing dabei ist, werde ich das Update nicht installieren und stattdessen eine Drittanbieterapp für den Mailzugriff verwenden.

 

[Darklordx]

Ich habe die Apple Mail App einfach gelöscht. Geht doch. Nutze eh Outlook, damit ich alles an einem Ort habe. Dazu verwalte ich von Zeit zu Zeit meinen Gmail-Account, um den Werbemüll, den ich da "sammle" zu löschen.

 

[just_fre@kin]

Also wäre bei Android Gmail als nicht abänderbarer Standard drin hätte ich kein Android. Aber jeder wie er mag. Microsoft hatte Ärger wegen eines vorinstallierten Browsers, den man aber problemlos abwählen konnte. Apple darf Standardapps vorschreiben. Rate mal, was ich für schwerwiegender halte. Und die Lücke ist steinalt, ich wäre damit nicht zufrieden.

Ich finde es völlig okay, dass Firmen ihre eigenen Produkte erstmal als Standardkonfiguration vor die Produkte der Konkurrenz stellen. Bestes Beispiel Microsoft: dort war/ist der Browser seitens Microsoft vorinstalliert. Obwohl ich ihn überhaupt nicht nutze, ist das kein Problem für mich, da ich ja jederzeit zu einem anderen Produkt wechseln kann - in meinem Fall auf Google Chrome (wobei ich den neuen Edge-Browser auf Chromium Basis ebenfalls gut finde).

Hätte mir die Mail-App bei Apple nicht gefallen, würde ich auf ein anderes Programm wechseln (was problemlos möglich ist, z.B. das bereits genannte G-Mail, Outlook und was weiß ich, was sich noch alles im App Store tummelt) Also frage ich dich: was ist dein Problem? Wenn die Mail-App von Apple dir nicht zusagt, dann wechsel einfach auf ein anderes Programm - es ist möglich.

 

[Autokiller677]

Ich hatte extra Updates deaktiviert, damit ich in der staatlichen Überwachung durch Bluetooth Tracing entgehe. Ich werde mir das Changelog dieses Updates ganz genau durchlesen, wenn da dieses Contact Tracing dabei ist, werde ich das Update nicht installieren und stattdessen eine Drittanbieterapp für den Mailzugriff verwenden.

Du hättest dir auch die Nachrichten zum Kontakt Tracing genau durchlesen sollen.

Apple und Google integrieren beide nur eine API. Selbst wenn dein Gerät die hat, musst du immer noch eine App installieren, die sie benutzt, Daten erhebt und an den Server schickt (oder halt auch nicht, je nachdem, welcher Ansatz kommt).

Nur weil dein Gerät die API hat, wird noch kein einziger Kontakt nachverfolgt.

Ich habe die Apple Mail App einfach gelöscht. Geht doch. Nutze eh Outlook, damit ich alles an einem Ort habe. Dazu verwalte ich von Zeit zu Zeit meinen Gmail-Account, um den Werbemüll, den ich da "sammle" zu löschen.

Mein Problem mit allen anderen halbwegs brauchbaren MailApps (die ich bisher getestet hab / mich mit beschäftigt habe) ist, dass sie alle die Konten (und damit auch die Passwörter) irgendwo in der Cloud speichern. Häufig, ohne das man es abstellen kann. Bin jetzt auch gerade auf Outlook gewechselt und musste das Konto einmal löschen, weil die Einrichtung schief gegangen ist. Beim löschen kommt plötzich die Abfrage "Nur von diesem oder von allen Geräten löschen" - offenbar wird auch hier das Konto lustig durch die Gegend synchronisiert. Gefragt wurde ich danach nicht.

Dazu kommt: Die Outlook App kommt offenbar nicht mit dem Exchange ActiveSync von Mailbox.org klar (deshalb musste ich das Konto einmal löschen). Jetzt muss ich IMAP nutzen und hab keine ordentliche Push-Funktion mehr...

 

[knoxxi]

Outlook

An der App habe ich echt graue Haare bekommen. Die ist dauernd abgeschmiert, notifications waren ein Glückspiel.

 

[AYAlf]

Achso und das Konzept von Google oder Diverse andere Hersteller ist natürlich besser?

Ähh ja ....

Und Design ist denke ich mal auch Geschmacksache. Tellerrand und so....

Wenn man auf hässlich steht, ist das Design von Apple natürlich O.K.
Entspricht dann aber immer noch nicht der "höhe der Zeit".
Apple war mal der Vorreiter von Design, Sicherheit und Funktion. Jetzt sind sie der Vorreiter für .. ähhh keine Ahnung.

Design haben sie verkackt.
Sicherheit haben sie verkackt.
Funktion haben sie noch nicht ganz verkackt.

Das ist wie gesagt nur meine bescheidene Meinung.

 

[Damokles]

Welches Paypal? Wenn ich die möglichkeit zu 2FA habe, nutze ich diese Möglichkeit selbstverständlich auch. Zumal ich bei den meisten händlern als Gast bestelle, sofern es geht, dann hab ich auch das generve mit den super "angeboten" nicht, die dann immer vom mindestbestellwert gerade nicht reichen

Genau das bringt Dir dann =0=. Weil der potentielle Angreifer dein komplettes Handy kontrolliert. Somit fängt er auch das 2FA ab. Obs nun per SMS kommt, über einen Anruf oder auch per Authenticator App. Alles egal ... er hätte die Kontrolle über ALLES:

Das Interessante ist ... die Schwachstelle ist sehr alt ... wurde auch schon sehr viel früher gemeldet. Es wurde nun publik gemacht um Apple dazu zu bewegen, das Ding endlich zu fixen.
Das kritische an der Schwachstelle ist, das es ausreicht das Dir ein Angreifer eine solche komprimittierte Mail einfach zuschickt. Man muss diese noch nicht einmal lesen. Es reicht wenn die Mail von der Mail-App einfach empfangen wird. Völlig ohne Zutun vom Anwender.
Und ja ... die Schwachstelle wird bereits aktiv ausgenutzt! Mag sein, das primär keine Privatpersonen im Fokus stehen, aber dadurch das die Schwachstelle jetzt veröffentlicht wurde, könnte die auch von jedem Hobby 0815 Hacker benutzt / ausgenutzt werden.

 

[Kalsarikännit]

Einfach die Standard-Email-App ändern.... oh halt, das geht ja gar nicht.

Stimmt, die Alternativen wären ja dann auch alle frei von Fehlern und Sicherheitslücken....oh halt, das stimmt ja gar nicht.

 

[Helge01]

Ich habe lange Spark benutzt, bin aber seit nem Jahr ungefähr wieder bei Apple Mail. Denn Spark hatte mal ne Phase wo es ein Akku-Killer war und der Hauptverbraucher.

Wenn man Spark nutzt, dann hat man sowieso die Kontrolle über sein Leben verloren. Man gibt den Russen die Zugangsdaten seiner E-Mail Postfächer. Damit haben sie volle Kontrolle über diese.

 

[Autokiller677]

Genau das bringt Dir dann =0=. Weil der potentielle Angreifer dein komplettes Handy kontrolliert. Somit fängt er auch das 2FA ab. Obs nun per SMS kommt, über einen Anruf oder auch per Authenticator App. Alles egal ... er hätte die Kontrolle über ALLES:

Keine Ahnung was du für besondere Informationen hast. Der Artikel hier (und auch andere die ich gelesen habe) sprechen alle nur davon, dass der Angreifer Zugriff auf die E-Mails hat. Nirgendwo steht, dass er aus der Sandbox ausbrechen kann und SMS lesen oder andere Apps starten kann. Viele Authenticator Apps verlangen auch beim Start nochmal Entsperren per Pin / Fingerabdruck und entschlüsseln die Daten erst danach.

Da sind also schon noch einige mehr Hürden zu überwinden, um wirklich alles übernehmen zu können.

 

[Damokles]

Wenn man Spark nutzt, dann hat man sowieso die Kontrolle über sein Leben verloren. Man gibt den Russen die Zugangsdaten seiner E-Mail Postfächer.

Und so ... Apple ala den Amerikanern. (wenn man AppleMail benutzt)
Was ist nun besser?

 

[cyberpirate]

mein leben ist eh so langweilig, das kein angreifer mit der information....

Das mag ja so sein. Aber es gibt noch andere Menschen denen so was eben nicht egal ist. So eine Einstellung wie deine ist in meinen Augen einfach nur ein dämlich. Alles hinnehmen wie es ist. Ist mir doch egal.

Ich finde es ein Unding wie Apple hier vorgeht. Jahrelang die Augen verschließen und nix für die Sicherheit der USER machen finde ich echt ziemlich fragwürdig. Und ich spiele sogar schon mit der Überlegung mir mal ein Phone von denen zu kaufen weil doch alles so sicher bei Apple ist. Das hat sich glaube ich erstmal erledigt.

 

[Autokiller677]

Und so ... Apple ala den Amerikanern. (wenn man AppleMail benutzt)
Was ist nun besser?

AppleMail synchronisiert mWn. keine Accounts oder noch schlimmer, Passwörter zwischen Geräten hin und her oder in die Cloud. Spark schon. Man gibt also nicht nur der App das Passwort, bei Spark und anderen wird es auch direkt schön auf die Server des Anbieters hochgeladen.

Siehe hier: https://www.heise.de/mac-and-i/meldung/iOS-E-Mail-Client-Spark-speichert-Login-Daten-2679074.html
Mal ganz abgesehen von den bösen Russen, Amis und sonstwem bedeutet das auch, dass ein Angreifer, der den Spark-Server knackt, Zugriffsdaten für alle E-Mail Accounts der User bekommt. Auch nicht cool.

 

[knoxxi]

oder in die Cloud.

naja wenn iCloud Backups aktiviert sind, liegen die Daten schon dort.