Suchen

BSI warnt vor Nutzung der Apple E-Mail-App Schwere Sicherheitslücke in iOS-Mail-App

| Redakteur: Peter Schmitz

Das BSI warnt vor zwei schwerwiegenden Sicherheitslücken in der Mail-App von Apples iOS- und iPadOS-Betriebssystem. Betroffen sind alle iOS-Versionen rückwirkend bis iOS 6. Laut der Security-Experten von ZecOps, wurden bereits Angriffe mit den beiden Zero-Day-Attacken durchgeführt.

Firmen zum Thema

Die Sicherheitsexperten von ZecOps und des BSI warnen aktuell aufgrund zweier Zero-Day-Schwachstellen vor der Nutzung der Standard-Mail-App von iOS und iPadOS.
Die Sicherheitsexperten von ZecOps und des BSI warnen aktuell aufgrund zweier Zero-Day-Schwachstellen vor der Nutzung der Standard-Mail-App von iOS und iPadOS.
(Bild: ZecOps)

Die iOS-App „Mail“ ist auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Öffnen einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden.

Das in San Francisco ansässige Cybersicherheits­unternehmen ZecOps gab an, dass es bei der routinemäßigen Kontrolle von Kundengeräten auf die beiden Fehler in den E-Mail-Standard-Apps von iOS und iPadOS gestoßen sei. Nach weiteren Untersuchungen fanden sie Beweise für gezielte Angriffe, die sie am Mittwoch in einem Bericht beschrieben.

In dem Bericht erklären die Security-Experten, dass eine Reihe von Kunden gezielt angegriffen wurden, darunter Mitarbeiter eines Fortune-500-Unternehmens in Nordamerika, ein Journalist in Europa und ein VIP in Deutschland. Die Forscher konnten zwar Hinweise darauf entdecken, dass die Schwachstellen auf den Geräten ausgeführt wurden, aber die dazu genutzten E-Mails waren nicht auf den Geräten zu finden. Dies deute nach Meinung der Experten von ZecOps darauf hin, dass die Angreifer sie wahrscheinlich gelöscht hatten um ihre Spuren zu verwischen.

Von den Schwachstellen sind nur die Apple-eigenen Standard-Apps „Mail“ von iOS und iPadOS betroffen, aber nicht E-Mail Anwendungen von Drittanbietern wie Gmail oder Outlook; auch macOS ist nicht betroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Da für die beiden Schwachstellen bislang keine Patches zur Verfügung stehen empfiehlt das BSI, die Mail-App auf iOS- und iPadOS-Geräten vorläufig nicht mehr zu verwenden, bis Apple ein Update liefern kann.

Dazu BSI-Präsident Arne Schönbohm: „Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen.“

ZecOps hat Apple nach eigener Aussage bereits im Februar über die Sicherheitslücken informiert. In der neuesten Betaversion von iOS 13.4.5 hat Apple die Schwachstellen jetzt gepatcht. Sobald dieses Update veröffentlicht wird sollte es umgehend installiert werden. Wir werden diesen Artikel dann entsprechend aktualisieren.

(ID:46533719)