Apple spielt Fehler in der iOS-Mail-App herunter

Heute hatte ja schon aufgegriffen, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) vor der Mail-App in Apple iOS warnt. Laut BSI sei die App Mail auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. Apple hat nun auf die Kritik an seiner Mail-App reagiert und die Bedeutung der Probleme heruntergespielt.

Demnach habe man keine Beweise dafür gefunden, dass die vorhandenen Sicherheitslücken bisher ausgenutzt worden seien. Außerdem werde es bald ein Update geben, welches die Fehler behebe – in der aktuellen Betaversion ist das ja sogar schon der Fall. Apples Aussagen widersprechen da allerdings den Untersuchungen der Sicherheitsexperten von ZecOps. Letztere erklärten, sie hätten Beweise gefunden, laut denen die Exploits gegen mindestens sechs hochrangige Ziele ausgenutzt worden seien. Man glaube noch an weitere Vorfälle.

Apple wiederum gibt zu Protokoll, dass keine unmittelbare Gefahr für die User vorliege. Auch von anderen Seiten wurden Zweifel an den Aussagen von ZecOps laut. So zeigte sich auch ein Sicherheitsforscher von Googles Project Zero skeptisch. ZecOps selbst hatte angegeben, dass Manager aus den Fortune-500-Firmen bereits Ziele von Angriffen gewesen seien.

Apple scheint das anders zu sehen und erklärt, dass man zwar drei Probleme in Mail zur Kenntnis genommen habe, sie aber für sich genommen keine Möglichkeit boten die Sicherheitsmechanismen der iPhone und iPad komplett auszuhebeln. Wer hat nun recht? Das lässt sich schwer sagen, sinnvoll ist es in jedem Fall, wenn die Lücken bald geschlossen werden und das Thema dann vom Tisch sein sollte.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

34 Kommentare

  1. Die Mail App scheint ein riesiger Fail in iOS 13 geworden zu sein. Foren sind auch voll damit.

    • Wohl wahr.
      Das ist einfach eine ganz schwache Nummer die Apple seit iOS 13 mit der Mail App abliefert.
      So eine essentielle Anwendung, gerade bei einem OS, welches auch für Business Kunden geeignet sein soll.

      • oh, na dann. wenn viele etwas ins internet schreiben, ist es ja immer richtig.

        • @Mike:
          Ich selber hatte schon genug Probleme mit der Mail App. Leider sind für mich die Alternativen nicht viel besser. Das lustige ist ja, wie Apple in den Release Notes schreibt, dass die Fehler behoben worden sind, was nicht stimmt.

    • Thomas Neidlinger says:

      Ja, leider. Hatte erst kürzlich aktualisiert weil ich gehört hab, dass die Mail App inzwischen problemlos funktioniere… Pustekuchen.

  2. Welche mail app benutzt Ihr ?

  3. DancingBallmer says:

    Mich nervt es dass keine Seite die Origianquelle verlinken, dazu die deutschen Seiten den englischen Originaltext auf der die ganze Meldung basiert nicht zitieren. Ursprung scheint wohl ein Tweet eines Mitarbeiters von Bloomberg zu sein, der unter anderem Apple zitiert, unter anderem folgenden interessanten Satz: „The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, (…)“

    Quelle: https://twitter.com/markgurman/status/1253511977533489154

    Mich würde jetzt gerne von Apple wissen inwiefern diese drei Lücken nicht ausreichend sind, bzw. worauf man achten muss damit es wirklich ausreichend ist. Generell würde ich auch gerne eine offizielle Meldung zu diesem Thema aus erster Quelle, sprich Apple selbst, bekommen. Apple macht hier keine gute Informationspolitik, gerade bei sicherheitsrelevanten Themen muss man sich schneller und genauer melden, insbesondere auf seinen eigenen Kanälen.

    • Wieso? Ist doch alles genau hier beschrieben: https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

      Zecops müßte erstmal beschreiben, wie man einen OOB-Speicherleak ausnutzen kann. Man müßte zumindest erstmal ASLR umgehen, um das im Kontext der Mail App ausznutzen.

      • DancingBallmer says:

        Danke für den Link, ich habe den Text grob überflogen. Den Blogeintrag selber habe würde ich normalerweise nicht gelesen, da mir ehrlich gesagt das nötige Wissen und somit leider das Verständnis fehlt. Soweit ich aber das verstehe, schreibt Zecops selber im FAQ-Bereich die zwei beschriebenen Lücken würden nicht ausreichen.

        Zitat: „These bugs alone cannot cause harm to iOS users – since the attackers would require an additional infoleak bug & a kernel bug afterwards for full control over the targeted device.„

        Ich denke darauf möchte Apple mit seiner Äußerung hinweisen. Genau diese Information habe ich aber in keinem Artikel gefunden, geschweige denn was z.B. praktisch gesehen zu einem notwendigen infoleak bug oder kernel bug führen kann, damit man eben diese vermeidet. Ich hoffe ich habe das soweit richtig verstanden und habe nichts übersehen oder fehlinterpretiert. Und an der Stelle kommt meiner Meinung nach eine gute Informationspolitik ins Spiel, um eben die Situation aufzuklären und zu beruhigen.

        Ich hatte heute vormittag in kurzer Zeit verschiedene deutsche Artikel (z.B. Telltarif, MacTechNews, Macwelt) in meinem Feed-Reader gelesen und jeder hatte den Tweet leicht abgeändert übersetzt, bzw. nicht alles berichtet. Ich wollte dann die Originalnachricht von Apple lesen, habe aber direkt nichts gefunden, sondern eben bei ein paar englischsprachigen Seiten eben nur den Text und dann endlich netterweise bei TheVerge auch einen Link zum Tweet. Später hat dann heise einen Artikel gebracht und diesen dort auch verlinkt, aber bis dahin hat mich die Situation ehrlich gesagt Kirre gemacht, da jeder irgendetwas schreibt und sich dabei auf Apple bezieht, nur bei Apple selber findet man nichts. Bei einem solch sicherheitsrelevanten Thema muss Apple einfach aktiv werden, wenn selbst Mainstream-Medien wie der Spiegel darüber berichten. Gleichzeitig müssen die Medien auch besser mit ihren Quellenangaben umgehen. Vielleicht war mein Text auch ein bißchen zu scharf und ich übertreibe, ich war aber wirklich richtig genervt überall gefühlt nur Fragmente zu lesen ohne die einfache Möglichkeit die Informationen einfach zu überprüfen.

        • Ich kann das schon verstehen. Es ist oft mühsam, sich bis zur Quelle zurückzuarbeiten und dann zu versuchen, das Ganze einzuschätzen. Aber das ist ja nicht unbedingt der Job von Caschy und dem Team hier. Das Hintergrundrauschen von Trollen und so weiter muss man bei vielen Themen auch noch rausfiltern.
          Informationen zu Sicherheitsupdates sind hier: https://support.apple.com/de-de/HT201222 Wenn man sich durchclickt, gelangt man zu den CVEs um sich näher zu informieren. Die wenigsten davon gelangen in die Nachrichten.

          Genauer gesagt handelt es sich um einen Pufferüberlauf. Dabei landen durch einen Programmfehler Daten in einen Speicherbereich, der nicht vorgesehen ist. Diese Daten können auch Programmcode sein. Man benötigt aber natürlich auch einen Weg, um diesen Code auszuführen.
          Einfacher ist das, wenn ein Anwender ein Programm auf seinem System ausführt, das Schadcode enthält. Sicherheitsmechanismen wie ASLR (zufällige Speicherbereichen) verhindern das.
          Ein andere Methode wäre, den kompletten Speicher vollzumüllen, und dann zu hoffen, dass ein anderes Programm zufällig auf den Speicherbereich zugreift und dann auch noch den Schadcode ausführt, der sich hoffentlich noch dort befindet.
          Dann gibt es natürlich noch andere Hürden wie Rechte- und Nutzerverwaltung. Das sind die beiden Hürden, die du zitierst und auf die sich auch Apple bezieht.

  4. Ich geh davon aus, dass mittlerweile schon Filter bei den Mailprovidern laufen, die diese Mails rausfiltern.

  5. Toll, als 0815 User steht man jetzt zwischen den Stühlen und weiss nicht was Sache ist!

  6. hismajesty says:

    Darum sind hier iPhone SE und iPad der Freundin immer noch bei iOS 12.
    Und das wird auch erst zum Release von 14 erst geändert, wenn die letzte Version von 13 raus ist.

    • iOS 12 ist doch genauso betroffen!
      „Laut BSI sei die App Mail auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen.“

  7. Meine Artikelüberschrift würde lauten: „Medien bashen Apple wegen Fehler in der iOS-Mail-App und schreiben mal wieder alle voneinander ab“

  8. Bin ich etwa der Einzige dem in den Sinn gekommen ist, dass die Medien/Regierung diese „NEWs über die Sicherheitslücke in iOS“ nur verbreiten um auch die iOS Nutzer zu dem in kürze erscheinendem Update (inkl. BRD Spionage-App) zu bewegen? Autoupdate=OFF

    • Denn kritische Systemfehler gab es schon immer, bei jedem großen Hersteller.
      Ich sehe keinen Zusammenhang zu Corona.
      Zu deiner Theorie: Updates kommen doch regelmäßig und werden teilweise automatisch installiert, warum also erst Angst schüren?

      • Das ist richtig! Wobei nach meinem Kenntnisstand diese Funktion der BRD-App eines bei iOS Systemupdate und bei Android eines Google Play Update bedarf. Es kann sicher nicht falsch sein, die Gefahren von Corona nicht zu überschätzen und die Propaganda der Medien nicht zu unterschätzen!

        • Nach aktuellem Stand unterstützt Apple das vom RKI verwendete System auf PEPP-PT-Basis nicht. Apple und Google arbeiten gemeinsam an einem anderen Standard der bessren Datenschutz bieten soll. 0 zu 1 für das RKI oder vielleicht doch schon ein Ko

          • Sollte Apple den Datenschutz in einer für mich nachvollziehbaren Art und Weise vernachlässigen, bin ich leider raus! Dieses für Apple so wichtige Thema, könnte durchaus die weitere Firmengeschichte von Apple stark beeinflussen. Dass auf Google in dieser Angelegenheit nicht zu zählen ist, sollte allen schon lang bewusst sein.

    • Thomas Neidlinger says:

      Ja, bist der einzige, dem so ein Schwachsinn einfällt.

      • Danke, da bin ich jetzt beruhig! Habe mir sofort bei Amazon nen 100er Pack Masken bestellt und mir in vorauseilendem Gehorsam die sehr seriöse und bestimmt zu 100% unbedenkliche Corona-Datenspende-App installiert. Ich bin froh dass es Dich gibt, Menschen wie Du werden uns alle unglaublich viel weiterbringen.

        • Vergiss nicht das Anlegen eines großzügigen Vorrats Aluhüte.

          • Lieber Robert, deine Theorie über die Schutzwirkung von Aluhüten gegen Propaganda-Medien kann ich nicht nachvollziehen. Somit bist Du hiermit eindeutig als Verschwörungstheoretiker entlarvt.

            • Lieber Daniel in meinen Augen bist du ein Schwurbler und ein Troll. Leider gibt es immer mehr von solchen Menschen wie dir.

              Es tut mir sehr leid für eure erfundene Wahrheit und eure Panik vor allen Dingen die ihr euch nicht erklären könnt.

            • Daniel braucht ja gar nicht erst als Verschwörungstheoretiker entlarft werden, hat mit dem Ausdruck „die Medien/Regierung“ keinste Zweifel mehr offen gelassen.

  9. Das passt doch zu dem fehlerhaften Kalender..

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.