News Apple: BSI warnt vor Sicherheits­lücken in Mail-App von iOS

[Jasmin83]

Das mag ja so sein. Aber es gibt noch andere Menschen denen so was eben nicht egal ist. So eine Einstellung wie deine ist in meinen Augen einfach nur ein dämlich. Alles hinnehmen wie es ist. Ist mir doch egal.

Nö das tu ich nicht, ich nehme es nicht einfach hin, wie auch sonst nicht. Es ärgert mich genauso, nur mach ich mir in diesem speziellen Fall weniger sorgen darum, als bei anderen Problemen, die in meinem Fall dann kritischer wären. Zumindestens funktioniert der Spam Filter bei meinem Domainanbieter noch so gut, das ich in den letzten Monaten gar keine unbekannten Mails mehr bekommen habe, auch wechsel ich regelmäßig meine E-Mailadresse, so läuft auch schon viel ins leere.

 

[Floppy5885]

Ähh ja ....


Wenn man auf hässlich steht, ist das Design von Apple natürlich O.K.
Entspricht dann aber immer noch nicht der "höhe der Zeit".
Apple war mal der Vorreiter von Design, Sicherheit und Funktion. Jetzt sind sie der Vorreiter für .. ähhh keine Ahnung.

Design haben sie verkackt.
Sicherheit haben sie verkackt.
Funktion haben sie noch nicht ganz verkackt.

Das ist wie gesagt nur meine bescheidene Meinung.

Sorry hatte gedacht du hättest sachliche Argumente gehabt mit Beispielen. Zu spät erkannt das jegliche Sachliche Diskussion keinen Sinn hat.

 

[Helge01]

@Damokles Man muss nicht Apple seine Passwörter für seine E-Mail Postfächer zuschicken. Diese werden lokal auf dem Gerät gespeichert und nur zur Authentifizierung gegenüber dem Mail Anbieter genutzt. Bei Spark ist das so, sie brauchen deine Passwörter im Klartext und sie lesen auch sämtliche E-Mails mit. Steht sogar in deren Bestimmungen. Da einen privaten russischen Anbieter zu Vertrauen ist mehr als leichtsinnig. Bei einer Banking App würde das ja auch keiner machen. Sonst könnte man ja gleich seine Zugangsdaten öffentlich machen.

 

[Otsy]

@Autokiller677

Gemäß ZecOps ist unter gewissen Umständen eine komplette Übernahme inklusive Vollzugriff auf das Gerät möglich. Die Dokumentation zu der Lücke habe ich selber aber noch nicht vollständig ausgewertet.

 

[Berlinrider]

Schon blöd, denn die Mail App werden sicherlich auch viele Nutzen. Da der Hack auch ohne aktives zutun funktioniert ist es umso problematischer.

Ich hoffe Apple hält hier an der bisherigen Vorgehensweise fest und stellt auch einen Fix für Geräte bereit, die eigentlich schon aus dem Updatezyklus raus sind. Für iOS 12 gab es ja bisher schon diverse solcher "Backport Fixes". Zur Erinnerung: letztes offizielles Release war iOS 12.4.1, mittlerweile sind wir schon 5 Releases weiter bei iOS 12.4.6 und ich bin sehr sicher das da noch 12.4.7 nachkommt.

...das wäre dann auch der Grund warum viele den Preis der Geräte mit dem Update Support rechtfertigen (und ja wenn sie es richtig programmiert hätten bräuchten wir keine Updates...)

 

[adius]

Einfach die Standard-Email-App ändern.... oh halt, das geht ja gar nicht.

Wieso geht das nicht? Habe gerade mal nachgeschaut. Ich habe die Apple Mail gar nicht auf dem iPohne 6S. Ich vertraue schon seit Jahren meinem persönlichen Überwacher Google Mail. Kein Spam weil sehr guter Spamkiller.
Also 👍👍👍👍Habe mit Google noch nie Probleme gehabt und die mit mir auch nicht.
Ach ja, es wie bei allen Lücken das aktive zutun des Nutzers nötig. Was bei der allgemeinen Unbekümmertheit und Neugier wohl kein Problem sein wird. Klick Klick oooooh was ist das denn??? Shit happens

 

[Autokiller677]

naja wenn iCloud Backups aktiviert sind, liegen die Daten schon dort.

Es wäre mir neu, dass im iCloud Backup diese Daten alle drin sind. Das letzte Mal musste ich mich da bei allem neu einloggen.
https://support.apple.com/de-de/HT207428 hier steht nicht, dass Passwörter enthalten sind (außer für Visual Voicemail). Es gilt weiterhin, dass man das komplette "all-in" Backup nur bekommt, wenn man ein verschlüsseltes Backup per iTunes anlegt.
https://support.apple.com/de-de/HT202303 hier steht z.B. was zu den WLAN Passwörtern in der iCloud, die sind Ende-zu-Ende verschlüsselt.

 

[knoxxi]

@Autokiller677 ah stimmt, ich hatte es falsch in Erinnerung. Mea Culpa.

 

[k0ntr]

An alle die hier schreiben "ist ja nicht so schlimm, bin nicht so wichtig":
Dann veröffentlicht hier doch bitte eure kompletten Kontaktdaten (Name, Straße, PLZ, etc.) und Nicknames bei allen Onlinediensten die ihr benutzt. Wie macht ihr nicht? Ihr seid doch laut eigener Aussage nicht so wichtig, also los macht doch mal.

Es gibt halt einen Unterschied, ob deine Daten jetzt frei zugänglich sind, oder nur für die, die sich mit diesem "Hackern" auskennen.

 

[corvus]

Stimmt, die Alternativen wären ja dann auch alle frei von Fehlern und Sicherheitslücken....oh halt, das stimmt ja gar nicht.

Unglaublich schlechter Vergleich, natürlich haben alle Apps Sicherheitslücken, aber durch Auswahl können Sicherheitslücken besser mitigiert werden. Wenn jetzt Aquamail super unsicher wäre könnte ich auch Outlook nehmen. Oder Gmail. Oder die Handy-integrierte Mailapp. Und alle als Standard nutzen. Außerdem ist der Funktionsumfang der iOS Mail App schlichtweg schwach.

Und wenn Apple Standardapps vorschreibt und auch soviel Kohle verlangt und sich Sicherheit auf die Fahne schreibt ist ne zwei Jahre Lücke dieser Art einfach eine Frechheit. Ich weiß gar nicht, was es daran überhaupt zu verteidigen gibt. Das würde ich auch Google und Microsoft nicht nachsehen....

 

[Schnatterente]

nach 8 Jahren kann man schonmal warnen.
Das war eine Pressemitteilung und der BSI schreibt sich das auf die Fahne ?

 

[Otsy]

The vulnerability allows to run remote code in the context of MobileMail (iOS 12) or maild (iOS 13). Successful exploitation of this vulnerability would allow the attacker to leak, modify, and delete emails. Additional kernel vulnerability would provide full device access – we suspect that these attackers had another vulnerability. It is currently under investigation.

[...]

The suspected targets included:

Individuals from a Fortune 500 organization in North America
An executive from a carrier in Japan
A VIP from Germany
MSSPs from Saudi Arabia and Israel
A Journalist in Europe
Suspected: An executive from a Swiss enterprise .

Edit:

nach 8 Jahren kann man schonmal warnen.
Das war eine Pressemitteilung und der BSI schreibt sich das auf die Fahne ?

Da der Exploit erst am 22.04.2020 publik wurde kann ich diese, wenn ich es recht verstehe, Kritik nicht ganz nachvollziehen.

 

[Kalsarikännit]

@corvus schon mal ein iOS-Gerät verwendet?

 

[iSight2TheBlind]

@Otsy Ich lese das so, dass die Lücke selbst kein Ausbrechen aus der Sandbox erlaubt.
Wenn man obendrein noch einen Exploit besitzt der es einem erlaubt aus der Sandbox auszubrechen dann kann man natürlich ausbrechen - aber das ist unabhängig von dieser Lücke.
Das wäre auch möglich wenn dieser Exploit in der App Herzchenstempelapp24 verwendet würde.
Es ist natürlich einfacher diesen Exploit via Mail auf das (gewünschte!) System zu bekommen als in einer App die durch den Appstore muss.

 

[Otsy]

@iSight2TheBlind

Eine Übernahme der Device ist ohne weitere Exploits wohl nicht möglich, das lese ich ebenfalls heraus.

 

[Damokles]

Keine Ahnung was du für besondere Informationen hast. Der Artikel hier (und auch andere die ich gelesen habe) sprechen alle nur davon, dass der Angreifer Zugriff auf die E-Mails hat. Nirgendwo steht, dass er aus der Sandbox ausbrechen kann und SMS lesen oder andere Apps starten kann. Viele Authenticator Apps verlangen auch beim Start nochmal Entsperren per Pin / Fingerabdruck und entschlüsseln die Daten erst danach.

Da sind also schon noch einige mehr Hürden zu überwinden, um wirklich alles übernehmen zu können.

Unter iOS 13 lässt sich der Angriff komplett ohne Nutzerinteraktion im Hintergrund durchführen. Abgesehen von einer vorübergehenden Verlangsamung des Geräts sei der Angriff für die Opfer nicht wahrnehmbar. Da sich mit den Sicherheitslücken Code im Rahmen der Mailapp (iOS 12) beziehungsweise Maild (iOS 13) ausführen lässt, kann der Angreifer die E-Mail anschließend einfach löschen. Um das iPhone oder iPad komplett zu übernehmen, benötigt der Angreifer eine weitere Sicherheitslücke zur Rechteausweitung. Die Kombination mehrerer Sicherheitslücken, das sogenannte Chaining, ist jedoch nicht unüblich. Im vergangenen Jahr entdeckte Google fünf verschiedene Exploit Chains für iPhones, die aktiv ausgenutzt wurden.

 

[corvus]

@corvus schon mal ein iOS-Gerät verwendet?

Ein paar hundert. Aller Generationen. Muss ich von Berufswegen leider. Zum Glück immer nur kurzfristig.

Persönlich schätze ich es mehr, Standardapps festlegen zu können, die private und geschäftliche SIM-Karte in einem Gerät nutzen zu können, Exchangeserver auch ohne Drittanbieterzertifikat verbinden zu können, ein Update auch per USB Verbindung und Kommandozeile einspielen zu können und generell für schon 300€ ziemlich gute Smartphones zu bekommen.

Ich weiß, ITler und ihre komischen Ansprüche...

Ergänzung (24. April 2020)

Wieso geht das nicht? Habe gerade mal nachgeschaut. Ich habe die Apple Mail gar nicht auf dem iPohne 6S.

Jo Du kannst Sie deinstallieren. Aber Du kannst keine Apps per se als Standard definieren. Google kann das innerhalb seiner Apps umgehen, das wars auch schon.
https://www.wired.com/story/how-to-change-default-apps-windows-android-macos-ios/

Aber wenn Du jetzt gerne Outlook nutzen möchtest, weil Du nen O365 Plan von deiner Firma hast und noch zusätzliche freigegebene Postfächer am Exchange Online öffnen willst, dann kannst Du iOS nicht sagen, nutze Outlook zum öffnen von mailto: Links.

 

[SVΞN]

Artikel-Update: ZecOps will weitere Details veröffentlichen
Mit iOS vertraute Sicherheitsforscher fordern derweil mehr Details zur Ausnutzung der beiden Sicherheitslücken, wie Heise mit einem Verweis auf den Sicherheitsexperten und Hacker Dino A. Dai Zovi meldet.

ZecOps selbst hat derweil weitere Details in Aussicht gestellt, damit die Sicherheitsforscher besser nachvollziehen können wie die Schwachstellen ausgenutzt werden und der Schadcode schlussendlich in iOS 13 eingeschleust wird.

Apple gibt offizielles Statement ab

Der Website The Verge liegt mittlerweile ein offizielles Statement von Apple zu den Sicherheitslücken vor. Obgleich das Unternehmen in den Sicherheitslücken kein akutes Risiko erkennt, da die Sicherheitssysteme des iPhones oder iPads nicht umgangen werden könnten und bisher keinerlei Erkenntnisse zu erfolgreichen Angriffen vorliegen würden, werde Apple die Sicherheitslücken bald mit einem Update schließen.

Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher’s report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users.

The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers.

These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance.

Die Redaktion dankt Community-Mitglied „Falc410“ für den Hinweis zu dieser Meldung.

 

[FX-Multimedia]

AppleMail synchronisiert mWn. keine Accounts oder noch schlimmer, Passwörter zwischen Geräten hin und her oder in die Cloud.

klar machen Sie das. Ich Kauf mir ein neues MacBook melde mich mit meinem iCloud Account an und Voilla all meine E-Mail Konten inklusive Passwort sind sofort eingerichtet. Also müssen alle Daten in der Cloud beziehungsweise bei iCloud liegen

 

[bart0rn]

@FX-Multimedia
Das macht aber nicht AppleMail sondern der Schlüsselbund