Schwachstelle in Apples iOS

Sicherheitslücke beim iPhone: BSI rät von Benutzung der Mail-App ab

Uhr

Sicherheitsforscher haben eine schwere Sicherheitslücke im Mailprogramm von iPhones und iPads entdeckt. Apple sieht keine akute Gefahr für Nutzer. Dennoch raten das deutsche BSI und ein Cybersecurity-Unternehmen, vorläufig auf alternative Mailprogramme auszuweichen.

(Source: Feng Yu / Fotolia.com)
(Source: Feng Yu / Fotolia.com)

Im Mailprogramm von Apples iOS haben US-Sicherheitsforscher schwere Sicherheitslücken entdeckt. Damit sind iPhones und iPads betroffen. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt unterdessen vor der Schwachstelle, wie die "Süddeutsche Zeitung" schreibt.

Über die Lücke sollen Angreifer mithilfe manipulierter Mails Schadcode auf den Geräten installieren können. In der Folge könnten sie dann andere Mails des Opfers lesen, verändern oder löschen. Das BSI empfehle, bis zur Behebung der Schwachstelle andere Mail-Apps zu verwenden oder die Mails im Browser zu lesen. Zudem sollte vorübergehend mindestens die Synchronisation von Mails ausgeschaltet werden, am besten aber gleich das gesamte Mailprogramm der Mobilgeräte von Apple.

Apple will Lücke schliessen, sieht aber keine akute Gefahr

Apple habe die Lücke bisher nicht geschlossen, wolle dies aber in einem kommenden Update tun. Gemäss "Reuters" dementiert der Konzern, dass die Lücke in der Mail-App von iOS gegen Kunden verwendet worden ist. Das Unternehmen gehe davon aus, dass die Nutzer keinem akuten Risiko ausgesetzt seien.

Das sieht das Cybersecurity-Unternehmen Zecops anders. Es vermutet, dass die Lücke im Netz verbreitet wurden. In seinem Blog listet das Start-up anonymisierte Personen, die vermutlich bereits einer Attacke über diese Mail-Lücke zum Opfer gefallen seien. Neben einem deutschen VIP und einem europäischen Journalisten befindet sich auch "eine Führungskraft eines Schweizer Unternehmens" in der Liste der möglichen Opfer.

Kaum Anhaltspunkte, um die Attacke zu bemerken

Laut Zecops sind alle iOS-Versionen inklusive iOS 13.4.1 von der Lücke betroffen. Erst in einem Beta-Patch für iOS 13.4.5 sei die Lücke geschlossen. Während Nutzer von iOS 12 meist auf eine Mail mit der Schadsoftware klicken müssten, um sie zu aktivieren, mache sie sich auf iOS 13 selbstständig. Angegriffene hätten nur wenige Anhaltspunkte, um die Attacke zu bemerken.

Auf iOS 12 würde die Mail-App manchmal plötzlich crashen, egal ob die Attacke erfolgreich war oder nicht. Auf iOS 13 würden Nutzer möglicherweise nur eine vorübergehende Verlangsamung der Applikation wahrnehmen. Nach erfolgreichen Attacken würden die Hacker ihre gesendete Mail löschen und so ihre Spuren verwischen, der Nutzer würde nichts merken. Fehlgeschlagene Attacken könnten auf iOS 13 bemerkt werden, weil sich dann Mails ohne Inhalt im Posteingang befinden würden. Die angezeigte Nachricht wäre beschriftet mit: "This message has no content."

Zecops empfiehlt, entweder den Beta-Patch 13.4.5 auf seinem iPhone oder iPad zu installieren oder andere Mail-Applikationen zu verwenden, bis der Patch 13.4.5 veröffentlicht wurde. Macs seien von der Schwachstelle nicht betroffen.

Während der Coronakrise hat Apple beschlossen, den möglichen Einsatz von Contact-Tracing-Apps zu erleichtern. Wie, das können Sie hier nachlesen.

Webcode
DPF8_177792