Apples Mail-App betroffen Auch Bundesamt warnt vor Sicherheitslücken auf iPhones und iPads
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor zwei Sicherheitslücken in der Mail-App von Apples iPhones und iPads. Damit sei "potenziell das Lesen, Verändern und Löschen von E-Mails möglich", erklärte die Behörde. Zuvor hatte die amerikanische IT-Sicherheitsfirma ZecOps erklärt, dass sie Hinweise darauf gefunden habe, dass die Schwachstellen in einigen Fällen bereits ausgenutzt worden seien. Es habe sich dabei um sehr gezielte Attacken gehandelt. Sie hätten allerdings auf den betroffenen Geräten keinen Softwarecode der Schadprogramme mehr entdecken können, erklärten die Forscher.
Die iOS-App "Mail" auf iPhones & iPads ist von kritischen Schwachstellen betroffen. Das BSI rät dazu, die App zu deinstallieren oder die Synchronisation von Mails zu deaktivieren. Bei iOS13 wird bereits durch das Empfangen einer Mail die Schadwirkung ausgelöst. (1/x)
— BSI (@BSI_Bund) April 23, 2020
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Anders als bei vielen Angriffen muss der Nutzer den Experten zufolge nicht erst eine Datei im Anfang anklicken, sondern es reicht schon, die präparierte Mail selbst zu öffnen. "Das BSI schätzt diese Schwachstellen als besonders kritisch ein", erklärte die Behörde, die unter anderem die Kommunikation der Bundesregierung absichert.
Solche Sicherheitslücken stünden hoch im Kurs, weil sie Angreifern nur etwas nutzen, solange sie unentdeckt bleiben, hieß es. Deshalb werden sie meist nur sehr gezielt gegen besonders wertvolle Ziele eingesetzt. Unter den Zielen der Angriffe seien laut ZecOps Manager großer US-Unternehmer und eines japanischen Mobilfunkanbieters sowie ein Journalist in Europa gewesen.
Apple will die Schwachstellen mit der nächsten Version seines Mobil-Betriebssystems iOS schließen. Sie waren nach der Veröffentlichung ihrer Vorab-Versionen öffentlich bekanntgeworden. Einen wirksamen Schutz wird es erst geben, wenn das Update für alle Nutzer verfügbar ist. Bis dahin können sich Nutzer unter anderem mit einer öffentlichen Betaversion schützen, dort ist die Sicherheitslücke laut ZecOps behoben. Das BSI empfiehlt, die App vorerst zu löschen oder die Synchronisation abzuschalten.
Anmerkung der Redaktion: Nach Veröffentlichung dieses Artikels erreichte uns von Apple die folgende Stellungnahme: "Apple nimmt alle Berichte über Sicherheitsbedrohungen ernst. Wir haben den Bericht der Forscher gründlich untersucht und sind aufgrund der uns vorgelegten Informationen zu dem Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen. Die Forscher haben drei Probleme in der Mail-App identifiziert, aber diese allein reichen nicht aus, um die in iPhones und iPads integrierten Sicherheitsvorkehrungen zu umgehen. Wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden. Ein Software-Update wird diese potenziellen Probleme demnächst beseitigen. Wir schätzen unsere Zusammenarbeit mit Sicherheitsforschern, um die Sicherheit unserer Benutzer zu gewährleisten, und werden den Forschern für ihre Hilfe Anerkennung zollen."