BSI warnt vor Nutzung der Apple E-Mail-App

Schwere Sicherheitslücke in iOS-Mail-App

| Redakteur: Peter Schmitz

Die Sicherheitsexperten von ZecOps und des BSI warnen aktuell aufgrund zweier Zero-Day-Schwachstellen vor der Nutzung der Standard-Mail-App von iOS und iPadOS.
Die Sicherheitsexperten von ZecOps und des BSI warnen aktuell aufgrund zweier Zero-Day-Schwachstellen vor der Nutzung der Standard-Mail-App von iOS und iPadOS. (Bild: ZecOps)

Das BSI warnt vor zwei schwerwiegenden Sicherheitslücken in der Mail-App von Apples iOS- und iPadOS-Betriebssystem. Betroffen sind alle iOS-Versionen rückwirkend bis iOS 6. Laut der Security-Experten von ZecOps, wurden bereits Angriffe mit den beiden Zero-Day-Attacken durchgeführt.

Die iOS-App „Mail“ ist auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Öffnen einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden.

Das in San Francisco ansässige Cybersicherheits­unternehmen ZecOps gab an, dass es bei der routinemäßigen Kontrolle von Kundengeräten auf die beiden Fehler in den E-Mail-Standard-Apps von iOS und iPadOS gestoßen sei. Nach weiteren Untersuchungen fanden sie Beweise für gezielte Angriffe, die sie am Mittwoch in einem Bericht beschrieben.

Schwachstelle in iOS-Mail-App: das können Sie jetzt tun!

Schwere Sicherheitslücke in iOS-Mail-App

Schwachstelle in iOS-Mail-App: das können Sie jetzt tun!

27.04.20 - In der Mail-App von iOS ist eine schwere Sicherheitslücke aufgefallen, die seit iOS 6 im System vorhanden ist. Die Lücke wird von Angreifern aktiv genutzt. Wir zeigen, was Anwender jetzt als erstes tun sollten und welche Alternativen es zur Mail-App von iOS und iPad OS gibt. lesen

In dem Bericht erklären die Security-Experten, dass eine Reihe von Kunden gezielt angegriffen wurden, darunter Mitarbeiter eines Fortune-500-Unternehmens in Nordamerika, ein Journalist in Europa und ein VIP in Deutschland. Die Forscher konnten zwar Hinweise darauf entdecken, dass die Schwachstellen auf den Geräten ausgeführt wurden, aber die dazu genutzten E-Mails waren nicht auf den Geräten zu finden. Dies deute nach Meinung der Experten von ZecOps darauf hin, dass die Angreifer sie wahrscheinlich gelöscht hatten um ihre Spuren zu verwischen.

Von den Schwachstellen sind nur die Apple-eigenen Standard-Apps „Mail“ von iOS und iPadOS betroffen, aber nicht E-Mail Anwendungen von Drittanbietern wie Gmail oder Outlook; auch macOS ist nicht betroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Da für die beiden Schwachstellen bislang keine Patches zur Verfügung stehen empfiehlt das BSI, die Mail-App auf iOS- und iPadOS-Geräten vorläufig nicht mehr zu verwenden, bis Apple ein Update liefern kann.

Dazu BSI-Präsident Arne Schönbohm: „Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen.“

ZecOps hat Apple nach eigener Aussage bereits im Februar über die Sicherheitslücken informiert. In der neuesten Betaversion von iOS 13.4.5 hat Apple die Schwachstellen jetzt gepatcht. Sobald dieses Update veröffentlicht wird sollte es umgehend installiert werden. Wir werden diesen Artikel dann entsprechend aktualisieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46533719 / Sicherheitslücken)