Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Über 500 Millionen iPhones und iPads sind durch Zero-Day-Lücken in Apple Mail angreifbar. bild:zecops

Neue Sicherheitslücken gefährden iPhone- und iPad-Nutzer – so kannst du dich schützen

Wer Apples E-Mail-App auf dem iPhone oder iPad nutzt, sollte sich hüten. Denn Sicherheitsforscher warnen vor zwei schwerwiegenden Lücken. Berichten zufolge nutzen Kriminelle diese bereits seit längerem aus.



Ein Artikel von

T-Online

US-Sicherheitsforscher warnen vor Lücken in Apples Mail-App für iPhones und iPads. Kriminelle können zwei jahrelang unentdeckte Schwachstellen in der Anwendung nutzen, um Schadcode auf das Gerät zu laden. Ein Angreifer erhalte so Zugriff auf die Mail-App, könne bei Kenntnis einer Kernel-Schwachstelle aber auch das komplette iPhone oder iPad übernehmen, berichtet das Sicherheitsunternehmen ZecOps.

Bei Geräten mit dem aktuellen iOS 13.4.1 reicht es dabei, wenn Nutzer eine manipulierte E-Mail erhalten. Eine Nutzeraktion ist nicht erforderlich, was die Lücke so gefährlich mache. Unter iOS 12 klappe das nur, wenn der Angreifer auch Kontrolle über den Mail-Server hat, sonst müsse das Opfer erst dazu gebracht werden, die manipulierte E-Mail zu öffnen (was keine sehr hohe Hürde ist).

Schweizer Firma mutmasslich unter den Opfern

Die für Hacker und Geheimdienste wertvolle Lücke wurde bzw. wird gezielt gegen Personen wie Manager, Journalisten oder VIPs eingesetzt, schreibt das Sicherheitsunternehmen. Unter den Opfern soll sich auch ein hochrangiger Manager eines Schweizer Konzerns befinden, schreibt ZecOps.

iOS-Nutzer erfahren vom Angriff nichts. Unter iOS 12 kann die Mail-App aber eventuell abstürzen, unter iOS 13 möglicherweise langsamer arbeiten. Falls die Angriffe scheitern sollten, können Nutzer Mails mit Nachrichten wie «This message has no content» erhalten, berichten ZecOps in einem Blog-Beitrag.

Lücke existiert seit iOS 6

ZecOps zufolge soll die Lücke seit iOS 6 existieren, also etwa seit 8 Jahren. Das Betriebssystem erschien mit dem iPhone 5. Erste Angriffe auf die Lücke kann ZecOps aber erst zum Betriebssystem iOS 11.2.2 vom Januar 2018 zurückverfolgen.

Update noch nicht (für alle) verfügbar

ZecOps hat Apple über die Schwachstelle informiert, ein Update ist bisher aber noch nicht verfügbar. Erst in der iOS-Betaversion 13.4.5 hat Apple die Lücke geschlossen.

Wie soll man sich also schützen? Man kann wahlweise Apples Mail-App nicht mehr zu nutzen (Mail-Synchronisation deaktivieren) oder die Betaversion von iOS 13.4.5 installieren. Wie bei Betaversionen üblich, tut man dies auf eigene Gefahr.

ZecOps rät Nutzern, die Mail-App von Apple zu meiden, bis Apple ein Update geliefert hat. Bekannte Alternativen sind etwa Gmail und Outlook. Wann dieses Update über die automatische Updatefunktion verfügbar gemacht wird, ist derzeit unklar.

Für gewöhnlich werden Informationen zu Schwachstellen erst veröffentlicht, wenn der Hersteller ein Update für sein Gerät geliefert hat. ZecOps argumentiert aber, dass Apple in den Informationen zum Beta-Update 13.4.5 Details zur Lücke bekannt gegeben habe.

Die Sicherheitsforscher fürchten darum, dass Angreifer die Lücke verstärkt ausnutzen werden, ehe Apple ein Update für alle Nutzer veröffentlicht. «Wir hoffen, dass die Veröffentlichung dieser Informationen dazu beiträgt, dass der Patch schneller veröffentlicht wird», schreibt ZecOps in einem Blog-Beitrag.

Update: Apple hat sich inzwischen geäussert

Apple hat keine Hinweise auf eine Ausnutzung der bekanntgewordenen iPhone-Schwachstellen. Man gehe davon aus, dass die Sicherheitslücken «kein unmittelbares Risiko» für die Nutzer darstellten, teilte der US-Konzern in der Nacht zu Freitag mit. Damit widerspricht Apple den Aussagen des Chefs der Cybersicherheitsfirma ZecOps, Zuk Avraham, der auf die Schwachstellen aufmerksam gemacht hatte und es als erwiesen ansieht, dass die Lücken bei mindestens sechs Hackerangriffen ausgenutzt wurden.

Apple hatte am Mittwoch bestätigt, dass es in seiner Software für das Mail-Programm für iPhones und iPads Schwachstellen gibt. Eine Lösung für das Problem, das mehr als 500 Millionen Geräte weltweit betrifft, soll es mit dem nächsten Software-Update geben.

Unterdessen riet das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI), die App «Mail» unter Apple iOS zu deinstallieren oder alternativ die mit dieser App verknüpften Konten zu deaktivieren. Ansonsten sei es Angreifern dadurch möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren.

(oli/awp/sda/reu/avr/t-online.de)

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Leute, die Sicherheit nicht so ernst nehmen, wie sie sollten

Corona-Quarantäne-Cuisine – Emilys Apple Crumble

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

10
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
10Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Rectificator 24.04.2020 09:36
    Highlight Highlight google mail als sichere Alternative vorzuschlagen ist schon fast lustig.
  • Mr.President 24.04.2020 08:38
    Highlight Highlight Danke für die Info, hab gleich auf iOS 5 downgradet! ;)
  • Suigarah 24.04.2020 07:37
    Highlight Highlight Hoffen wir mal, dass am 11.5 mit der einführung der contact tracing Schnitstelle in iOS alles sauber läuft.
  • Miicha 23.04.2020 18:45
    Highlight Highlight Kaufe ein Android Handy! 😁
    • ikbcse 23.04.2020 18:51
      Highlight Highlight Gratuliere zu diesem absolut unerwarteten Kommentar.
  • _tj 23.04.2020 18:28
    Highlight Highlight > [...] reicht es dabei, wenn Nutzer eine manipulierte E-Mail erhalten. Eine Nutzeraktion ist nicht erforderlich, was die Lücke so gefährlich mache.

    Das stimmt so nicht ganz. Wie die Forscher selber sagen (https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/), ist noch ein zweiter, sehr anspruchsvoller Step nötig:

    > Q: Does the vulnerability require additional information to succeed? A: Yes, an attacker would need to leak an address from the memory in order to bypass ASLR. We did not focus on this vulnerability in our research.
  • My Senf 23.04.2020 18:19
    Highlight Highlight Trifft sich gut ich benutze diese krüppel App schon seit 3j nicht mehr
    Anfangs war Outlook noch bissel mühsam jedoch schon immer überlegen! Jetzt ist es auf iOS einfach unschlagbar!

    Apple hat email definitiv nicht erfunden!
    • carlos zapato 23.04.2020 19:34
      Highlight Highlight 1971 gabs weder Microsoft noch Apple.
    • My Senf 23.04.2020 21:56
      Highlight Highlight Ich glaub 1972 ach noch nicht
  • Aussie 23.04.2020 17:51
    Highlight Highlight Mir fehlt der POC zu dieser Story

Zoom hat's vermasselt – die unglaubliche Chronologie der Zoom-Fails

Zoom ist der grosse Profiteur der Corona-Pandemie. Über 200 Millionen Menschen tauschen sich täglich über die Videokonferenz-App aus. Doch nun tauchen täglich neue Probleme auf. IT-Experten nennen Zoom «ein Datenschutz-Desaster» oder schlicht «Schadsoftware».

Zoom wird seit Wochen von neuen Nutzern überrannt, da die Corona-Pandemie immer mehr Menschen dazu zwingt, von zuhause aus zu arbeiten. Das schlagende Argument des Skype-Rivalen sind die nahezu reibungslos funktionierenden Videoanrufe und Videokonferenzen. Egal ob mit zwei oder 100 Personen, egal ob am PC oder Smartphone, es funktioniert. Und zwar so einfach, dass es jede und jeder nutzen kann (sogar Boris Johnson).

>> Coronavirus: Alle News im Liveticker

Darum zoomen längst nicht nur …

Artikel lesen
Link zum Artikel