iOS: Kritische Sicherheitslücke in Mail-App

[Jan Gruber]

Jan Gruber
Berichte über sogenannte Zero-Day-Lücken sind bei iOS mittlerweile durchaus selten geworden. Heute müssen wir jedoch über eine kritische Lücke in der Mail-App von iOS berichten. Aufgrund der Schwachstelle kann Schadcode eingeschleust und ausgeführt werden.

Das Sicherheitsunternehmen Zecops hat den Fehler entdeckt. Die Forscher gehen davon aus, dass diese Lücke bereits für konkrete Angriffe auf Journalisten, Wirtschaftsvertreter und Promis genutzt wird oder wurde. Aufgrund eines Fehlers in der Mail-App können Angreifer Schadcode einschleusen und ausführen. Unter iOS 13 ist der Fehler noch schwerwiegender, hier musste der Angreifer nicht einmal mehr den Mailserver unter Kontrolle haben. Die Mail-App muss ausschließlich im Hintergrund laufen, der Nutzer muss auch keine verseuchte Mail mehr explizit öffnen.
Mail-App und ihre (eingeschränkten) Alternativen


Aktuell sind alle Versionen von iOS ab iOS 6 von der Sicherheitslücke betroffen. Mit iOS 13.4.5, welches sich bereits in Beta befindet, soll der Fehler aber behoben werden. Alternativen? Gibt es: Die Mail-App ist zwar vorinstalliert, der Nutzer kann diese aber deinstallieren. Mit Spark, Airmail und diversen anderen Apps gibt es ausreichend Konkurrenz von Drittanbietern. Leider ist es bis dato nicht möglich, eine neue Standard-App für Mails festzulegen – ein Umstand, über den Apple spätestens jetzt noch einmal gründlich nachdenken sollte. Apple empfiehlt aktuell selbst, einen anderen Mailclient zu nutzen.

Via Zecops

Den Artikel im Magazin lesen.

 

[MichaNbg]

So viel zum Thema "wir bieten dem Kunden aus Sicherheitsgründen nicht an, andere Standardanwendungen systemweit zu setzen" ...

Schon eine ziemlich schwerwiegend, harte Lücke.


Nachdem sowieso gleich der Glaubenskrieg der Mailapp-Fans ausbricht: mein aktueller Favorit ist Outlook 😁
Spark gefällt mir eigentlich auch, aber insgesamt habe ich dann doch mehr Vertrauen in Microsoft. Ohnehin weil ich mittlerweile wieder zu Outlook.com als hauptsächlichen Mailprovider zurückgewechselt bin. Outlook kann aber auch hervorragend mit iCloud zusammenarbeiten.

Wäre insgesamt noch sehr wünschenswert, dass 3rd Party Apps auch entweder das Systemadressbuch befüllen dürfen oder man das Systemadressbuch per default auf ein 3rd Party Adressbuch tauschen kann.

 

[Benutzer 239228]

Die Lücke allein ist jetzt nicht so das Thema. Erstmal kann man damit auch nichts anfangen. Es müssen noch weitere Lücken bestehen und bekannt sein um wirklich Schaden anrichten zu können. Zum Beispiel eine Lücke im Schlüsselbund, um Passwörter abzusaugen.

Ich hoffe das Update kommt bald. Ich werde jetzt nicht den Mail-Client wechseln. Das erscheint mir doch ein wenig übertrieben. Auch wenn ich diese Lücke nicht verharmlosen will.

Edit:
Und selbst unter "Könnern" ist nicht ganz klar, was man denn damit nun anfangen soll. Siehe letzter Absatz:

iPhones durch Zero-Day-Lücken in Apple Mail angreifbar

iOS-Nutzer sollten die Mail-App vorübergehend nicht benutzen, warnen Sicherheitsforscher. Schwachstellen erlauben unbemerktes Code-Einschleusen.

www.heise.de

 

[MichaNbg]

Das BSI sieht das ein wenig anders

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Drittanbieter-Cookies akzeptieren

Und welcher Schaden genau damit angerichtet werden kann möchte Zecops ja aufgrund der Nachfrage ja jetzt nochmal im Detail veröffentlichen.

 

[Benutzer 239228]

Das BSI sieht das ein wenig anders

Das BSI hat seine "Kompetenz" in der Vergangenheit schon mehrfach unter Beweis gestellt.

Die können mir erzählen der Himmel sei blau, ich würde sagen: nö.

 

[Mitglied 105235]

Heise.de ist aber auch schon lange kein Garant für verlässliche Quellen und gute Artikel.

 

[Mitglied 231919]

Warum? Ich sehe weder im Heise-Artikel ein Problem noch in dem Tweet vom BSI. Beide weisen - zugegeben etwas panisch - darauf hin, dass eine kritische Sicherheitslücke besteht, die angeblich bereits ausgenutzt wird. So weit so gut.
ABER: Die eigentliche Frage ist doch, wie die Lücke ausgenutzt wird und welchere Schaden damit erzeugt wurde/werden kann. Solange diese Frage offen ist sch...e ich mich nicht ein und nutze die App weiter.

Vielleicht motiviert die Tatsache, dass die Existenz der Lücke nun publik geworden ist ja auch Apple, das 13.4.5 Update vorzuziehen.

 

[Benutzer 239228]

Heise.de ist aber auch schon lange kein Garant für verlässliche Quellen und gute Artikel.

Ja, das ist wohl so. Ändert aber auch nix. War nur eben gerade das, was ich geöffnet hatte.

 

[Mitglied 105235]

Warum?

Ich meine das Generell, unabhängig was in den Artikel nun drinnen stand.

 

[Mitglied 115348]

ABER: Die eigentliche Frage ist doch, wie die Lücke ausgenutzt wird und welchere Schaden damit erzeugt wurde/werden kann.

Quelle: https://cert.at/de/warnungen/2020/4...-in-apple-mail-app-mobilemailmaild-fur-iphone

Edit: Weitere Details auch hier https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

 

[Jan Gruber]

Hab ich auch in meinem Artikel geschrieben. Es gibt konkrete Hinweise darauf, dass diese Lücke aktiv ausgenutzt wird. Ich hab mich heute auch ein wenig näher damit beschäftigt tagsüber ,... es gibt schon ziemlich konkrete Szenarien um sie zu nutzen. Unter anderem darum hat Zecops Apple auch nicht die Zeit gelassen das zu fixen - wie sonst - damit die Menschen reagieren können. Und die Reaktion / die Behebung ist ja relativ einfach diesmal ,...

 

[User]

Ich nutze den Mac im HomeOffice. Finde es absoluten misst das Apple keine Email dazu raus haut. Wollte schon länger mal Outlook wieder testen - jetzt ist wohl die Zeit Outlook zu nutzen.

Danke für den Artikel @Apfeltalk

 

[Mitglied 115348]

Grundsätzlich geht es ja um iOS, nicht Mac.

Nur kurz am Rande... Outlook, Airmail und Co. sollte man im Homeoffice vielleicht kurz mit der Firma abklären. Je nachdem wie Du/Deine Firma zur Zeit mit Mails im Homeoffice umgeht/anwendet.

 

[Jan Gruber]

Nur kurz am Rande... Outlook, Airmail und Co. sollte man im Homeoffice vielleicht kurz mit der Firma abklären. Je nachdem wie Du/Deine Firma zur Zeit mit Mails im Homeoffice umgeht/anwendet.

Sehr richtiger Punkt. Was Airmail, Spark und Co betrifft (und ja ich nutze diese und ja ich bin mittlerweile auch Betreiber von IT-Services für meine neue Firma und Datenschutzbeauftragter ^^).

Outlook seh ich nicht ganz wo das Problem ist muss ich sagen?!

 

[Mitglied 115348]

Outlook seh ich nicht ganz wo das Problem ist muss ich sagen?!

Wir nutzen Outlook nicht mehr. Eventuell bin ich nicht mehr up2date...

Anfang des Jahres war es noch so, dass die offizielle Outlook-App von Microsoft beim Anlegen eines IMAP-Accounts die kompletten Anmeldedaten an Microsoft überträgt.

Heute beschreibt MS das so https://docs.microsoft.com/de-de/e...d/passwords-and-security?view=exchserver-2019

 

[Jan Gruber]

Achso, okay, der Teil - ja da ist was dran, stimmt. Sofern man ohnedies auf Exchange setzt ist eher der Apple Kram ein Problem (und Spark und Airmail und so sowieso), aber Outlook ok

 

[MichaNbg]

So ist es. Wer eigene Mailserver ansprechen und bsp Push sowie notifications nutzen möchte, hat hier generell ein Problem. Da laufen eigentlich immer zusätzliche Dienste im Hintergrund, welche Anmeldedaten bzw Zugriffsauthorisierung benötigen.
By Design wie Notifikationen unter iOS funktionieren.

und Unternehmen die ihren Job wie auch IT-Security geben die Wahl des mailclients wie auch dessen Konfiguration sowieso vor.

 

[User]

Ich hätte besser doch nicht lesen sollen. So scheint Outlook andere Sorgen zu haben...

 

[Jan Gruber]

und Unternehmen die ihren Job wie auch IT-Security geben die Wahl des mailclients wie auch dessen Konfiguration sowieso vor.

Ich fürchte, dem ist so. Mir tuts bis heute in der Seele weh, dass ich Outlook vorgeben musste

 

[Mure77]

Outlook geladen. Mail gelöscht.