BSI warnt vor iOS-App Mail
von caschy | 57 Kommentare
Sicherheitsforscher teilten mit, dass das iPhone und das iPad angeblich einen schwerwiegenden Fehler in der nativen iOS-Mail-Anwendung hat. Die Schwachstelle ermöglicht die Ausführung von Code aus der Ferne und ermöglicht es einem Angreifer, ein Gerät aus der Ferne zu infizieren, indem er E-Mails an seine Opfer versendet, so die Sicherheitsforscher.
Nun meldet sich auch das Bundesamt für Sicherheit in der Informationstechnik zu Wort und rät erst einmal vom Einsatz der App ab, zumindest, bis das schützende iOS-Update für die Geräte erscheint. Laut BSI sei die App „Mail“ auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. In der aktuellen Betaversion soll es laut der Sicherheitsforscher aber so sein, dass die Lücken geschlossen sind.
Angreifern ist es möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potenziell das Lesen, Verändern und Löschen von E-Mails möglich. Ob allerdings das Ausführen weiterer schädlicher Aktivitäten möglich sei, werde derzeit geprüft.
Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich laut BSI je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch den Anwender geöffnet werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als kritisch ein. Solange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App „Mail“ von den Mail-Accounts abnabeln und einen anderen Client oder eben Webmail nutzen.
Wird geladen ...
Also reicht es, wenn mir eine Mail geschickt wird ohne, dass ich sie öffnen muss? 😮
So steht es geschrieben
Theoretisch müsste es genügen, wenn Push und das automatische Abrufen von eMail deaktiviert werden.
Wenn die Mail App nicht aktiv ist, dann kann Sie auch keinen Schaden anrichten.
Nicht wenn du noch IOS12 verwendest.
„If an attacker controls the mail server, the attack can be performed without any clicks on iOS 12 too.“ Quelle: https://www.theregister.co.uk/2020/04/22/apple_ios_mail_zeroday/
Das ist Unsinn.
Nein ist es nicht
Sicher ist es das. Lies einfach die Quelle.
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/#
Joa und da steht drin: „Unassisted attacks on iOS 12 can be triggered (aka zero click) if the attacker controls the mail server“ Ach Kalle.
Nett, paßt aber überhaupt nicht zum Punkt davor („Vulnerability trigger on iOS 12: The attack requires a click on the email“) und ebenfalls nicht zum gesamten Rest des Artikels.
Du verstehst es nicht. Die email zu öffnen ist auch unter iOS 12 nicht notwendig wenn der Angreifer gleichzeitig Zugang zu deinem Mail Account hat. Hoffe jetzt hat’s geklingelt.
Wie gesagt, dass paßt nicht zum Rest des Artikels und wird dort auch nicht beschrieben. Außerdem frage ich mich, welchen Unterschied das machen würde.
Schon seltsam das gerade jetzt so eine schlimme Lücke auftaucht und man dringend ein Update machen soll/muss wenn es kommt, wahrscheinlich nächste Woche wo auch die Tracking Api kommen soll.
Schelm wer böses denkt.
Aluhut-Alarm.
Iss mal dein Futter was man dir vorsetzt
Mal im ernst, die Lücke exisitiert seit September 2012 und wird bereits seit Januar 2018 ausgenutzt, wie jetzt herausgefunden und für alle nachvollziehbar dokumentiert wurde. Es ist offensichtlich, dass Apple zeitnah handeln muss. Warum sollte das in irgendeinerweise mit der angekündigten Tracking API zusammenhängen, zumal es auch noch einer App bedarf, die diese API verwendet.
Wenn Du sowieso grundsätzlich Apple mistraust, dann auch allen anderen Tech-Firmen inklusive dem System, mit dem Du gerade online bist, außer Du hast Dein OS und Deine Anwendungen selbst zusammengeklöppelt oder zumindest den Quellcode gründlichst analysiert.
Apple ist der größte Rotz…mal ehrlich, Hardwaretechnisch bekommen die seit Jahren nichts mehr gebacken und Softwaretechnisch ja wohl ebenfalls seit Jahren auch.
Sorry aber da muss ich wiedersprechen! Ich war Apple User seit der ersten iPhone Generation und bin anschließend zu Android gewechselt, weil ich die Offenheit des Systems mochte. Nun, mehr als ein Jahrzehnt an diversen Android Geräten (SGS2, Nexus 4, OnePlus One, SGS7, SGS8, Mate 10 Pro, P20 Pro – also alles „High-End“ Modelle) bin ich wieder zu iPhone gewechselt, weil es einfach funktioniert und ich mir keine Gedanken machen muss…
Klar, man bindet sich immer auch an den Hersteller bei so einem Schritt aber das wars und ist es mir wert!
Schön, dass Deine Meinung, die mit dem konkreten Thema nichts zu tun hat, jetzt auch im Netz steht.
Futterneid
Alter Falter … ♂️
Lasst euch nicht triggern, da geht dem doch einer drauf ab.
Einer, schon mehrfach. Macht ruhig alles mit was man euch vorsetzt
Fap fap fap. Du Lümmel du.
Da war wohl jemand gestern zu spät beim Fischhändler und roter Hering war bereits aus.
Ich kenne auch so ziemlich jede aktuelle Verschwörungsthrorie, betrachte alles kritisch bis skeptisch und erlaube mir in den meisten Fällen kein Urteil, da „ich weiß, dass ich nichts weiß“ [~ Sokrates].
Auf genau deine Idee, Werner, bin ich aber auch gekommen :D. Z.B. habe ich hier im Blog in einem meiner nicht immer ganz ernst gemeinten Kommentare auch bereits Tage VOR dem Artikel über den Einbau der Tracking Systeme in die Betriebssysteme iOS/Android gemutmaßt, dass diese „wahrscheinlich“ nativ/direkt in die B.-Systeme integriert werden würden…. Aber soviel ist möglich und „wahrscheinlich“; dieses Wort muss man auseinandernehmen und sich mal auf der Zunge zergehen lassen: Der Anschein von Wahrheit.
Zu der Sicherheitslücke: Wer die Fähigkeiten besitzt remote Code auf iOS auszuführen, welcher eine gewisse Kontrolle über das kompromittierte System ermöglicht, erhält von Apple bis zu $1.5 Mio Bounty-Kohle oder arbeitet für oder im Auftrag der Regierung der PRC (also China) um etwa Uyguren und andere Minderheiten auszuspionieren.
PS: Während ich obiges schrieb, wurde ich tatsächlich per Push-Nachricht auf das verfügbare Update auf iOS 13.4.1 hingewiesen, obwohl es ja schon mindestens ein paar Tage zur Verfügung steht – was für ein ZUFALL!
die Push Benachrichtigungen für Updates bekommt man doch immer verzögert und nicht unbedingt an dem Release Tag. Ist jetzt nicht so außergewöhnlich…
Gibt es eigentlich irgendein Ereignis in dem Du keine Verschwörung wittern würdest?
Welche Apps könnte man stattdessen nehmen? FairEmail oder K-9 gibt es ja leider nicht für iOS.
Outlook kann ich immer empfehlen, vor allem wenn man Microsoft 365 Kunde ist. Aber es gehen natürlich auch andere Konten.
Hmm, welche App würdest du denn als Alternative empfehlen?
Habe von Android noch eine Lizenz für „Nine Mail“, nur leider crasht die App schon beim Konto hinzufügen, also leider nicht nutzbar. Und da ich kein GMail nutze, kommt die App auch nicht infrage…
Outlook.
Also Outlook hört nach einer gewissen Zeit auf meine iCloud Mails zu laden. Die tauchen irgendwann nach ein paar Tagen auf.
Keine Ahnung, Hab leider keine iCloud Mail Adresse.
Bei mir funktioniert Outlook seit 2 Jahren wunderbar.
Ich bin auch seit Jahren mit Outlook zufrieden!
gerade mal wieder getestet. web.de-account versucht einzupflegen. 3 abstürze dabei. mal wieder gelöscht.
Naja, scheint wohl nicht für jeden was zu sein. Ich habe damit zum Beispiel keine Probleme.
HA!!!! GENAU das selbe Problem hab ich auch! Die ersten paar Tage funktioniert es wunderbar, irgendwann hört aber der Push auf… Hast du eine Lösung dafür gefunden?
Leider nein. Microsoft Support hat mir nur Standard Tipps gegeben und am Ende haben sie selbst aufgegeben mit der Aussage „Wird irgendwann gefixt“.
versucht mal unibox
Spannendes Konzept, aber seit Oktober 2018 kein Update mehr.
Gibts ne Möglichkeit die Mail App vorübergehend zu „deaktivieren“ ?
Klar. Aber dazu musst Du das eingerichtete Mail-Konto entfernen.
Ja, die Mail Accounts löschen. Kann man ja später wieder eintragen und dann werden die Mails neu runtergeladen.
Wahrscheinlich dürfte es auch ausreichend sein, die Verwendung des Accounts für Emails über den Schieberegler in den Accounteinstellungen zu deaktivieren, oder? Dann muss man nach einem Update nicht den Account bei einrichten, sondern kann dies einfach wieder aktivieren.
„…sollten Anwender die App „Mail“ von den Mail-Accounts abnabeln“
Ein kleiner Workaround wäre hilfreich…
Einstellungen => Passwörter und Accounts => Datenabgleich => Push/ Abruf : manuell
Ohne Dein Zutun werden keine Mails mehr abgerufen.
Scheint mir die sinnvollste Lösung.
Hab Dank!
Es hilft schon, wenn man nicht gerade high profile Politiker, CEO oder sonst irgendwie bekannt ist und damit ein lohnenswertes Ziel ist. Es ist gut dass das BSI hier warnt, aber solche Bugs werden nicht einfach für 0815-Targets verschwendet.
Alternativ kann man auch auf die Beta wechseln und weiterhin Emails empfangen: https://beta.apple.com/
Quatsch, seit wann wird Pishing nur bei Personen des öffentlichen Interesses genutzt? Auch Ransomware befällt nicht nur Firmen. Für den Angreifer wäre diese Selektion auch aufwendiger als einfach pauschal zu bleiben.
Du schreibst Quatsch. iOS 0-Days wie dieser sind einfach zu wertvoll, um sie bei jedem 0815-Nutzer anzuwenden.
Wo jetzt jeder die Lücke kennt, wird sie auch signifikant genutzt, solange es noch geht.
Nö, die Quelle beschreibt nicht mal, wie die Lücke ausgenutzt werden kann. Nur, dass man mit einem Speicherfehler eine App crashen kann.
Viel wichtiger – Wie erfahre ich ob jemand all meine Emails denn nun hat? Oder ob ich überhaupt betroffen bin?!
Noch gar nicht! Es sei denn, der Angreifer löscht Dir alles, dann dürfte es auffallen!.. 😉
Das https://pasteboard.co/J5gQJMn.png muss man sich mal vor Augen führen. Hauptsache der Profit (bei/für Apple) stimmt. 🙁