BSI warnt vor iOS-App Mail

Sicherheitsforscher teilten mit, dass das iPhone und das iPad angeblich einen schwerwiegenden Fehler in der nativen iOS-Mail-Anwendung hat. Die Schwachstelle ermöglicht die Ausführung von Code aus der Ferne und ermöglicht es einem Angreifer, ein Gerät aus der Ferne zu infizieren, indem er E-Mails an seine Opfer versendet, so die Sicherheitsforscher.

Nun meldet sich auch das Bundesamt für Sicherheit in der Informationstechnik zu Wort und rät erst einmal vom Einsatz der App ab, zumindest, bis das schützende iOS-Update für die Geräte erscheint. Laut BSI sei die App „Mail“ auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. In der aktuellen Betaversion soll es laut der Sicherheitsforscher aber so sein, dass die Lücken geschlossen sind.

Angreifern ist es möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potenziell das Lesen, Verändern und Löschen von E-Mails möglich. Ob allerdings das Ausführen weiterer schädlicher Aktivitäten möglich sei, werde derzeit geprüft.

Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich laut BSI je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch den Anwender geöffnet werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als kritisch ein. Solange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App „Mail“ von den Mail-Accounts abnabeln und einen anderen Client oder eben Webmail nutzen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

57 Kommentare

  1. Also reicht es, wenn mir eine Mail geschickt wird ohne, dass ich sie öffnen muss? 😮

  2. Schon seltsam das gerade jetzt so eine schlimme Lücke auftaucht und man dringend ein Update machen soll/muss wenn es kommt, wahrscheinlich nächste Woche wo auch die Tracking Api kommen soll.
    Schelm wer böses denkt.

    • Aluhut-Alarm.

      • Iss mal dein Futter was man dir vorsetzt

        • Mal im ernst, die Lücke exisitiert seit September 2012 und wird bereits seit Januar 2018 ausgenutzt, wie jetzt herausgefunden und für alle nachvollziehbar dokumentiert wurde. Es ist offensichtlich, dass Apple zeitnah handeln muss. Warum sollte das in irgendeinerweise mit der angekündigten Tracking API zusammenhängen, zumal es auch noch einer App bedarf, die diese API verwendet.
          Wenn Du sowieso grundsätzlich Apple mistraust, dann auch allen anderen Tech-Firmen inklusive dem System, mit dem Du gerade online bist, außer Du hast Dein OS und Deine Anwendungen selbst zusammengeklöppelt oder zumindest den Quellcode gründlichst analysiert.

          • Apple ist der größte Rotz…mal ehrlich, Hardwaretechnisch bekommen die seit Jahren nichts mehr gebacken und Softwaretechnisch ja wohl ebenfalls seit Jahren auch.

            • Sorry aber da muss ich wiedersprechen! Ich war Apple User seit der ersten iPhone Generation und bin anschließend zu Android gewechselt, weil ich die Offenheit des Systems mochte. Nun, mehr als ein Jahrzehnt an diversen Android Geräten (SGS2, Nexus 4, OnePlus One, SGS7, SGS8, Mate 10 Pro, P20 Pro – also alles „High-End“ Modelle) bin ich wieder zu iPhone gewechselt, weil es einfach funktioniert und ich mir keine Gedanken machen muss…
              Klar, man bindet sich immer auch an den Hersteller bei so einem Schritt aber das wars und ist es mir wert!

            • Schön, dass Deine Meinung, die mit dem konkreten Thema nichts zu tun hat, jetzt auch im Netz steht.

        • Futterneid

    • Alter Falter … ‍♂️

    • Lasst euch nicht triggern, da geht dem doch einer drauf ab.

    • Tobias Wozniak says:

      Da war wohl jemand gestern zu spät beim Fischhändler und roter Hering war bereits aus.

    • Ich kenne auch so ziemlich jede aktuelle Verschwörungsthrorie, betrachte alles kritisch bis skeptisch und erlaube mir in den meisten Fällen kein Urteil, da „ich weiß, dass ich nichts weiß“ [~ Sokrates].

      Auf genau deine Idee, Werner, bin ich aber auch gekommen :D. Z.B. habe ich hier im Blog in einem meiner nicht immer ganz ernst gemeinten Kommentare auch bereits Tage VOR dem Artikel über den Einbau der Tracking Systeme in die Betriebssysteme iOS/Android gemutmaßt, dass diese „wahrscheinlich“ nativ/direkt in die B.-Systeme integriert werden würden…. Aber soviel ist möglich und „wahrscheinlich“; dieses Wort muss man auseinandernehmen und sich mal auf der Zunge zergehen lassen: Der Anschein von Wahrheit.

      Zu der Sicherheitslücke: Wer die Fähigkeiten besitzt remote Code auf iOS auszuführen, welcher eine gewisse Kontrolle über das kompromittierte System ermöglicht, erhält von Apple bis zu $1.5 Mio Bounty-Kohle oder arbeitet für oder im Auftrag der Regierung der PRC (also China) um etwa Uyguren und andere Minderheiten auszuspionieren.

      PS: Während ich obiges schrieb, wurde ich tatsächlich per Push-Nachricht auf das verfügbare Update auf iOS 13.4.1 hingewiesen, obwohl es ja schon mindestens ein paar Tage zur Verfügung steht – was für ein ZUFALL!

      • die Push Benachrichtigungen für Updates bekommt man doch immer verzögert und nicht unbedingt an dem Release Tag. Ist jetzt nicht so außergewöhnlich…

    • Gibt es eigentlich irgendein Ereignis in dem Du keine Verschwörung wittern würdest?

  3. Welche Apps könnte man stattdessen nehmen? FairEmail oder K-9 gibt es ja leider nicht für iOS.

    • Outlook kann ich immer empfehlen, vor allem wenn man Microsoft 365 Kunde ist. Aber es gehen natürlich auch andere Konten.

  4. Hmm, welche App würdest du denn als Alternative empfehlen?
    Habe von Android noch eine Lizenz für „Nine Mail“, nur leider crasht die App schon beim Konto hinzufügen, also leider nicht nutzbar. Und da ich kein GMail nutze, kommt die App auch nicht infrage…

  5. Gibts ne Möglichkeit die Mail App vorübergehend zu „deaktivieren“ ?

    • Klar. Aber dazu musst Du das eingerichtete Mail-Konto entfernen.

    • Ja, die Mail Accounts löschen. Kann man ja später wieder eintragen und dann werden die Mails neu runtergeladen.

      • Wahrscheinlich dürfte es auch ausreichend sein, die Verwendung des Accounts für Emails über den Schieberegler in den Accounteinstellungen zu deaktivieren, oder? Dann muss man nach einem Update nicht den Account bei einrichten, sondern kann dies einfach wieder aktivieren.

  6. „…sollten Anwender die App „Mail“ von den Mail-Accounts abnabeln“
    Ein kleiner Workaround wäre hilfreich…

    • Einstellungen => Passwörter und Accounts => Datenabgleich => Push/ Abruf : manuell

      Ohne Dein Zutun werden keine Mails mehr abgerufen.

    • Es hilft schon, wenn man nicht gerade high profile Politiker, CEO oder sonst irgendwie bekannt ist und damit ein lohnenswertes Ziel ist. Es ist gut dass das BSI hier warnt, aber solche Bugs werden nicht einfach für 0815-Targets verschwendet.

      Alternativ kann man auch auf die Beta wechseln und weiterhin Emails empfangen: https://beta.apple.com/

      • Quatsch, seit wann wird Pishing nur bei Personen des öffentlichen Interesses genutzt? Auch Ransomware befällt nicht nur Firmen. Für den Angreifer wäre diese Selektion auch aufwendiger als einfach pauschal zu bleiben.

        • Du schreibst Quatsch. iOS 0-Days wie dieser sind einfach zu wertvoll, um sie bei jedem 0815-Nutzer anzuwenden.

      • Wo jetzt jeder die Lücke kennt, wird sie auch signifikant genutzt, solange es noch geht.

        • Nö, die Quelle beschreibt nicht mal, wie die Lücke ausgenutzt werden kann. Nur, dass man mit einem Speicherfehler eine App crashen kann.

  7. Viel wichtiger – Wie erfahre ich ob jemand all meine Emails denn nun hat? Oder ob ich überhaupt betroffen bin?!

  8. Das https://pasteboard.co/J5gQJMn.png muss man sich mal vor Augen führen. Hauptsache der Profit (bei/für Apple) stimmt. 🙁

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.