iOS: Kritische Sicherheitslücke in Mail-App

[MichaNbg]

@MichaNbg Das Passwort bleibt lokal auf meinem Gerät und es authentifiziert sich nur mein Telefon gegenüber dem Mailserver.

So funktioniert Push bei iOS aber nicht 😉

Weiterhin war es zumindest bei meiner Frau so, dass ihr iPad gefragt hat, ob sie auch am iPad ihren Google Account aktivieren möchte, nachdem sie ihn am Mac eingerichtet hat.

macOS Systemsteuerung. Keine Google App.

 

[User]

Lies in den AGB nach. Es gibt Apps, deren Hersteller lassen sich per AGB Zugriff auf Deine Postfächer geben. Darüber lesen die Deine Mails und führen die Komfortfunktionen auf den eigenen Servern aus.

Damit begeht man in der Regel auch einen Verstoß gegen die AGB seiner Mail-Provider.

Komischerweise wurde von ZecOps und dem BSI zur Löschung geraten. Dabei reicht es, die automatische Synchronisation abzuschalten. Ich will doch nicht in ein paar Tagen vier Mail-Accounts neu einrichten.

Nur Apple Mail ist gelöscht! Alle Accounts bestehen noch in den Eindtellungen. Wenn der Fix da ist, genügt nur eine Neuinstallation und Häckchen setzten.

Wenn ich in der Outlook App IMAP manuell einrichte, kommt es nicht zur Speicherung bei MS. Kann dazu keine Angabe finden.

 

[frostdiver]

So funktioniert Push bei iOS aber nicht

"Gepushed" wird ja auch vom Email-Anbieter. Oder eben auch nicht, dann bleibt nur das 15 minütige Abholen
Apple selber braucht deine Zugangsdaten zu den Email-Anbietern nicht.

 

[Berry2k]

Beginnen jetzt hier wieder die endlosen Datenschutz-Diskussionen?
Wer geschäftlich unterwegs ist, wird das sicherlich genau prüfen ( müssen ), wenns deren IT nicht schon getan hat und dementsprechend Dinge vorschreibt.
Privat ist es wohl eher eine Frage des Vertrauens mit den Daten. Zumal wer will einem denn Bitteschön genau sagen können, wie die Verbindung technisch aussieht und welche Daten worüber wohin übertragen werden und welche nicht? Das kann einem wohl kaum jemand sagen, außer die technisch Verantwortlichen bei Apple, Microsoft und Co.
Alles andere ist dann wie gesagt Vertrauen.
Und da ist meins deutlich größer in Apple und Microsoft, als in Readdle, Facebook, und jegliche No-Name-Klein-Unternehmen mit ner Mail-App

Und um nochmal auf die Sache mit der angeblichen Sicherheitslücke zurückzukommen. Wenn selbst Apple das Risiko eingeht, und seinen „Kunden“ sagt, die Wahrscheinlichkeit, dass die Lücke sinnvoll / gefährlich ausgenutzt werden könnte, ist sehr gering bzw. sie bezweifeln es. Dann glaube ich denen auch mehr, als so ein kleines Unternehmen wie ZecOp, die diese komische Salami-Taktik fahren, und erst weitere Informationen veröffentlichen wollen, wenn Apple die Sache gefixt hat. Zumal ja mittlerweile immer mehr Fachleute daran zweifeln, dass die Lücke so gefährlich sei.
Manche Medien(-Berichterstatter) machen einen auf Panik, manche Sehens gelassen.
Auch in den Medien ist es wieder so eine Vertrauenssache.
Siehe den Artikel in unserem Magazin hier, wo steht „Apple empfiehlt aktuell selbst, einen anderen Mailclient zu nutzen.“ was ja nicht der Wahrheit entspricht und lediglich die eigene Meinung des Autors widerspiegelt, obwohl es so nicht gekennzeichnet ist. Herr Gruber es aber hier im Thread angemerkt hat, was die Thread-Leher hier jetzt also wissen, aber alle Magazin-Only-Leser schnell in Panik verfallen und denken, omg, selbst Apple empfiehlt alternative Mail-Clients zu benutzen und rät von ihrem eigenen ab. Unnötig

also bleibt mal alle ruhig Leute
Und wer geschäftlich wechseln muss und sich GedAnken um den Datenschutz macht, ja gut, da siehts dann halt mau aus...

 

[SitiSati]

Das ist schon ernüchternd. Das sicherste OS hat seit 2012 eine gravierende Sicherheitslücke in einer System-App. Und seit dem letzten System-Upgrade (auf 13) braucht der User nichts tun, damit automatisch Schadsoftware ausgeführt werden kann.
Vielleicht sollte Apple das bisherige Verfahren überdenken und zukünftig unterscheiden zwischen Updates für Systemapps und Versionsupgrades wie es zum Beispiel bei Linux seit Jahrzenten normal ist.

Bin hier im Thread auf Beitrag https://www.apfeltalk.de/community/...luecke-in-mail-app.550980/page-3#post-5472402 gestoßen.

Hatte vor kurzem in der Apple-Mail-App meinen POP3 Account einer eigenen DE-Domain auf dem iPhone ausgedünnt. Dabei fiel mir auf, dass viele Mails beim Aufruf in der App keinen Inhalt anzeigten und den Text ausgaben: "Diese Nachricht wurden nicht vom Server geladen."
Das ist merkwürdig, da diese Mails im Orignal immer noch beim Hoster auf dem Server liegen.

Ist mir vorher bei 12 nicht aufgefallen. Ist das hoffentlich ein "normaler" Bug in der Mail-App von iOS, oder wurde mein Gerät gehackt?

Hat jemand eine Idee?
Danke

 

[Benutzer 239155]

Beginnen jetzt hier wieder die endlosen Datenschutz-Diskussionen?

Alleine der Bericht über eine Sicherheitslücke betrifft das Thema Datenschutz!

Eine Empfehlung sollte daher auch den Datenschutz beachten.

Abgesehen davon, sehe ich in Bezug auf Smart Devices eine sehr lockere Einstellung zum Datenschutz, während die gleichen Leute in anderen Lebensbereichen solche Überwachung und Verfolgung nicht akzeptieren.

Wer geschäftlich unterwegs ist, wird das sicherlich genau prüfen ( müssen ), wenns deren IT nicht schon getan hat und dementsprechend Dinge vorschreibt.

Auch das entspricht nicht der von mir wahrgenommenen Realität. Selbst ausgebildete IT-Fachleute empfehlen vorschnell etwas, wo ich mir denke, "Ihr könnt doch die AGB noch gar nicht gelesen haben, geschreige denn von der Rechtsabteilung prüfen gelassen haben." Das ist dem betriebswirtschaftlichen Wunsch nach schnellen Lösungen geschuldet.

Privat ist es wohl eher eine Frage des Vertrauens mit den Daten. Zumal wer will einem denn Bitteschön genau sagen können, wie die Verbindung technisch aussieht und welche Daten worüber wohin übertragen werden und welche nicht?

Die DSGVO gilt nicht für die rein private Nutzung. Das halte ich für einen Fehler, weil die Konzerne das ausnutzen und so den Datenschutz unterwandern.

Weil kaum jemand die AGB liest, sichern sich die Konzerne ab und erlauben sich alles. Wer sich darüber bewußt ist, dass mit jedem Smart Device und jeder App ein Vertrag abgeschlossen wird und diesen auch liest, kritisch nachfragt, braucht nicht unbedingt genaue technische Kenntnisse.

Alles andere ist dann wie gesagt Vertrauen.

Es gibt genug Fachleute, die unter anderen zu den von mir gegannten Mail-Apps ihre Kritik im Internet veröffentlicht haben. Aber offenbar hat man mehr Vertrauen in die Konzerne als zu Sicherheits-Fachleuten, die sich das ganze genauer angesehen haben.

Und da ist meins deutlich größer in Apple und Microsoft, als in Readdle, Facebook, und jegliche No-Name-Klein-Unternehmen mit ner Mail-App

Worauf beruht diese Einschätzung? Wenn das nur aus einem Bauchgefühl beruht, ist das gefährlich. Gerade so manches Klein-Unternehmen oder sogar Einzel-Entwickler hat die bessere Lösung. Aber man muss sich dazu informieren. Und das ist eine Kritik an iOS, denn im Gegensatz zu Android kann ich nicht einfach feststellen, welche Tracking-Module eine App enthält.

Und um nochmal auf die Sache mit der angeblichen Sicherheitslücke zurückzukommen. Wenn selbst Apple das Risiko eingeht, und seinen „Kunden“ sagt, die Wahrscheinlichkeit, dass die Lücke sinnvoll / gefährlich ausgenutzt werden könnte, ist sehr gering bzw. sie bezweifeln es. Dann glaube ich denen auch mehr, als so ein kleines Unternehmen wie ZecOp, die diese komische Salami-Taktik fahren, und erst weitere Informationen veröffentlichen wollen, wenn Apple die Sache gefixt hat.

Vilkswagen hat auch behauptet, keinen Fehler bei den Abgassystemen gemacht zu haben, bis sie überführt wurden. Eine Aussage ist zunächst mal nicht mehr als eine Aussage. Ich glaube sie erst, wenn sie belegt ist. Dabei ist es egal, ob sie von einem Konzern oder einer einer kleinen Firma kommt.

Zumal ja mittlerweile immer mehr Fachleute daran zweifeln, dass die Lücke so gefährlich sei.

Das ist ein Indiz dafür, dass ZecOps zu weit gegangen ist!

Manche Medien(-Berichterstatter) machen einen auf Panik, manche Sehens gelassen.

Medien sind leider auch nur Menschen und sie müssen News schnell raushauen, um entsprechende Klicks zu generieren. Ist die Konkurrenz schneller, verdient man weniger an einer Nachricht. Das hat leider dazu geführt, dass selbst sogenannte Fachmedien nicht mehr das von mir erwartete Niveau aufweisen.

 

[BalthasarBux]

sicherste OS

Wer erzählt das denn?

Weiterhin war es zumindest bei meiner Frau so, dass ihr iPad gefragt hat, ob sie auch am iPad ihren Google Account aktivieren möchte, nachdem sie ihn am Mac eingerichtet hat.

Und, was willst du damit sagen? Daran ist ja per se erstmal nichts schlimmes. Copy&Paste zwischen Mac und iPad/Phone funktioniert über einen Mix aus Bluetooth und WLAN, nachdem sich beide Geräte über die AppleID miteinander bekannt gemacht haben. Ich habe es nicht überprüft, weil ich iCloud fast komplett inaktiv habe, aber da wird ähnliche "Magie" seitens Apple stattfinden.

 

[Mokotschombo]

Ist es eigentlich wieder ein Beispiel, wo das ganze System geupdatet werden muss um nur eine App zu fixen?

 

[BalthasarBux]

Da der Fix in 13.4.5 vorhanden ist, kannst du davon ausgehen, dass es mehr Fixes als nur den Mail-Fix geben wird.

 

[Benutzer 239155]

Das macht ja nichts. Vermutlich enthält iOS 13.4.5 schon eine erste Version der Corona-Tracing-API. Dennoch gehören Anwendungen vom System getrennt aktualisiert.

 

[gruener_igel]

Bin schon lange auf der Suche nach einer Alternative zu Apples "Mail" für iOS. Auf dem Mac nutze ich schon lange Thunderbird, und es läuft 1A und ist so benutzerfreundlich, wie Apple-Mail vor Jahren mal war. Habe es so eingestellt, dass ich SOFORT sehe, wer der echte Mail-Absender ist - hat mich schon einige Male vor bösen Überraschungen bewahrt.

Kennt jemand evt. eine App für iOS, die das auch drauf hat? Thunderbird gibt es ja dort leider immer noch nicht...

 

[Bayerner62]

Ist diese Sicherheitslücke tatsächlich so kritisch, dass wir möglichst alle die Mail - App löschen sollten und eine Alternativ-App installieren?

 

[NorbertM]

Eher nicht. 😇

 

[Benutzer 239155]

Jetzt wohl doch wieder eher „ja“

Lücke in iPhone-Mail: Sicherheitsforscher glauben an aktive Ausnutzung

Während Apple keinen Nachweis sieht, dass über schwere Sicherheitslücken in iOS Daten abgegriffen wurden, bewerten IT-Security-Spezialisten die Lage anders.

www.heise.de

Wobei ich auf das Abdrehen der Sychronisation setze und die App selbst nicht gelöscht habe.

 

[djtwok]

Schaden kann es keinesfalls auf Nummer sicher zu gehen bis ein Update da ist.

 

[Mitglied 105235]

Glauben heißt nicht wissen.
Wilhelm Weitling

 

[Cohni]

Dabei ist es so einfach.

Keiner kann wissen, wie konkret die Gefahr ist. Das zeigt schon mal die sehr unterschiedliche Berichterstattung. Dabei schließe ich mal Apples Statement sogar aus.

Da keiner von uns etwas wissen kann, muss jeder zu irgendeiner Schlussfolgerung für sich kommen.
Mir fallen dazu nur zwei vernünftige Varianten ein:

1. Alternative installieren

2. Abwarten

Beide Versionen finde ich nachvollziehbar, habe mich aber selbst für Nummer 2 entschieden.

 

[staettler]

Dito

 

[Balkenende]

Ich bin auch bei dito.

Hatte aus Interesse mal Texte und Bilder zur aktuellen Outlook-Version für iOS studiert. Sieht gereifter aus und mach durchaus einen optisch guten Eindruck.

 

[Mure77]

Ich bin auch bei dito.

Hatte aus Interesse mal Texte und Bilder zur aktuellen Outlook-Version für iOS studiert. Sieht gereifter aus und mach durchaus einen optisch guten Eindruck.

Wenn man das mal ganz nüchtern betrachtet dann hat Apple sich über die Jahre optisch für die Apps interessiert die zusätzliches Geld abwerfen können

Die sonstigen Apps sehen gefühlt so aus wie immer. Ob es FaceTime, iMessage oder Mail etc. ist.

Ideen die das iOS abrunden wurden abgekupfert wenn es nicht selber erfunden wurde und die wirklich breit verteilten professionellen Dinge übernehmen andere Anbieter.