Kritische Sicherheitsmängel: Mail-App auf iPhone und iPad sollte gelöscht werden
Sicherheitsforscher haben gravierende Sicherheitslücken in Apples Mail-App entdeckt. Das BSI rät Besitzern von iPhones und iPads jetzt zum Löschen der App, bis ein Update von Apple ausgerollt wird.
Das Lesen, Verändern und Löschen von E-Mails sei aktuell aufgrund zweier Sicherheitslücken in der Mail-App von Apple auf dem iPhone und iPad möglich. Davor warnt aktuell das Bundesamt für Sicherheit in der Informationstechnik (BSI) und rät Apple-Nutzern sogar zum Löschen der App, die standardmäßig ab Werk auf allen Apple-Geräten vorinstalliert ist.
Kürzlich hatte die IT-Sicherheitsfirma ZecOps erklärt, dass die Schwachstellen im Apple-System bereits von Hackern ausgenutzt wurden. Apple erklärt hingegen heute, dass dies nicht der Fall sei und man an der Behebung der Sicherheitslücke arbeite. Der Mangel soll besonders gravierend sein. Das BSI schätzt die Sicherheitslücke als kritisch ein, da das bloße Öffnen der Mail-App auf dem iPhone oder iPad bereits dazu führe, dass der Smartphone-Besitzer unbemerkt ausgespäht werden kann – sofern Hacker sie im Visier haben. Denn zuvor müssen Mails mit Schadsoftware eingegangen sein.
So soll es bereits etwaige Angriffe auf einen europäischen Journalisten, Manager großer US-Unternehmen sowie einen japanischen Mobilfunkanbieter gegeben haben, wie ZecOps erklärt. Die Lücke wird von Kriminellen ausgenutzt, um gezielt Personen auszuspähen. Wer sich schützen will, sollte die Mail-App vorerst löschen. Nutzer von aktuellen Beta-Versionen von iOS und iPadOS sollen wohl ebenfalls sicher sein, denn hier ist die Lücke bereits von Apple geschlossen worden. Gegenüber Spiegel gab Apple heute eine Stellungnahme ab und spricht sogar von drei Problemen:
"Apple nimmt alle Berichte über Sicherheitsbedrohungen ernst. Wir haben den Bericht der Forscher gründlich untersucht und sind aufgrund der uns vorgelegten Informationen zu dem Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen. Die Forscher haben drei Probleme in der Mail-App identifiziert, aber diese allein reichen nicht aus, um die in iPhones und iPads integrierten Sicherheitsvorkehrungen zu umgehen. Wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden. Ein Software-Update wird diese potenziellen Probleme demnächst beseitigen. Wir schätzen unsere Zusammenarbeit mit Sicherheitsforschern, um die Sicherheit unserer Benutzer zu gewährleisten, und werden den Forschern für ihre Hilfe Anerkennung zollen."
Apple Mail-App löschen
- iPhone entsperren
- Mail-App-Icon gedrückt halten
- "App löschen" anklicken
App-Alternative installieren
Bis Apple das Sicherheitsupdate ausgerollt hat, könnt Ihr alternative Mail-Programme nutzen. Entsprechende Software findet Ihr in unserer Übersicht der besten Mail-Apps für Android. Apps, die auch im Apple App Store verfügbar sind, sind entsprechend gekennzeichnet.
Via: Spiegel
Hat Apple doch schon dementiert!
Betrifft mich mit meiner Version 13.4.5 zum Glück nicht
Die 13.4.5 ist noch im Beta-Stadium. Das Beta-Stadium dient der letzten Problemsuche. Deshalb kann eine Beta zum einen ebenfalls böse Fehler enthalten, zum anderen überträgt sie in der Regel mehr Daten an den Hersteller. Für mich kommt Software im Beta-Stadium auf Daily Driver nur ganz selten in Frage.
Nun ja, die Lücke ist natürlich ernst zu nehmen und zu patchen. Das Risiko besteht hier aber nicht unbedingt für den normalen 0815-Nutzer, sondern eher für die iPhone Nutzer, die an relevanten Stellen sitzen (Presse, CEOs, etc.). In erster Linie geht es hier um Industriespionage und/oder staatliche Spionage.
Dagegen kann man an sich nicht viel machen. Software wird immer Fehler haben, und solange Staaten und professionelle Hacker-Gruppen die Ressourcen haben um diese Fehler zu suchen, solange sind gezielte Attacken einfach Alltag.
Die Pressemitteilung von Apple ist das klassische Gewäsch, wie es jedes Unternehmen in der Situation bringen würde:
- Keine Beweise: Natürlich wurden keine Beweise dabei gefunden, denn das Ziel solche Aktionen ist das ganze heimlich zu machen. Wenn der Bug es erlaubt (und das tut er hier), seine Spuren zu verwischen, dann macht man das auch. Man sollte dabei auch nicht vergessen, dass die Bugs nicht einfach so gefunden wurden, sondern die Angriffe beobachtet und dabei die Bugs erkannt wurden.
- Keine Umgehung der integrierten Sicherheitsvorkehrungen: Apple sagt es ja schön, die drei Lücken eigenen sich nicht dafür. Sie eigenen sich aber dafür, Mails zu löschen oder auszuspionieren. Das alleine kann schon viel bringen, aber die Forscher gehen aktuell davon aus und arbeiten daran herausfinden, ob noch weitere Lücken verwendet wurden um dann ins System weiter vorzudringen.
Das ist kein Vorwurf an Apple, jede Firma reagiert so in seinen Pressemitteilungen. Die Situation wird mittels geschickter Formulierung positiver rüber gebracht als es eigentlich ist. Deswegen sind Pressemitteilungen auch nicht geeignet, sich ein Bild darüber zu machen. Ich empfehle in diesem Fall die Analyse von ZecOps.
Wichtig ist jetzt für Apple einfach, die Patches schnell produktiv raus zu bringen, damit nicht demnächst jeder Ziel kleiner Skript-Kiddies wird die nun den Fehler auch ausnützen werden.
Die Frage ist, ob überhaubt Gefahr besteht. Denn Googles Projekt Zero und andere namhafte Hacker melden berechtigte Zweifel an.
Lt. Arstechnica konnte wohl ein abstürzen der App reproduziert werden. Aber nicht das auslesen oder sogar verändern von Mails.
Jetzt ist die Sicherheitsfirma gefordert. Sie muss jetzt Beweise vorlegen.
War alles nur heiße Luft? Und hat man Werbung in eigener Sache gemacht?
Oder ist an der schweren Sicherheitslücke tatsächlich was dran.
> Denn Googles Projekt Zero und andere namhafte Hacker melden berechtigte Zweifel an.
Ob die Zweifel berechtigt sind, lässt sich derzeit nicht seriös beurteilen. Deren Zweifel sind jedoch begründet.
> Das Risiko besteht hier aber nicht unbedingt für den normalen 0815-Nutzer
Spätestens sobald eine Sicherheitslücke veröffentlicht wurde, halte ich diese Begründung für gefährlich. Es gibt genug Cracker, die sich nach der Veröffentlichung daran probieren. Diese Leute schießen nicht selten ins Blaue um ihren Nutzen zu ermitteln.
Dieser Spagat zwischen Beschwichtigung und Eingeständnis ist doch jedes mal aufs neue Comedy Gold.
Zum Thema- Die meisten verdächtigen Mails werden ohnehin schon ziemlich zuverlässig gefiltert. Etwas Bauchgefühl kann aber auch nicht schaden.
Naja, was willst du denn groß sagen? Comedy kann ich hier nicht erkennen. Ich sehe das als positiv an, dass man es ernst nimmt und auch eingesteht. Die meisten streiten doch nur alles ab und kümmern sich Monate später mal darum.
Zumal die Lücke in der aktuellen Beta bereits gefixt wurde. Apple ist also längst dran. Denke mal in spätestens 1-2 Tagen kommt iOS13.4.2 und dann ist das wieder dicht.
Bei jedem Hersteller besteht eine Diskrepanz zwischen internen Maßnamen und dem, was (über andere Abteilungen) nach außen kommuniziert wird. Da kann wörtlich die Bude in Flammen stehen und die PR-Typen schaffen es dennoch, eine positive Story draus zu machen. Wer das selbst mal miterlebt hat, wird es wahrscheinlich besser nachvollziehen können.
Das ist übrigens allgemeingültig, falls sich hier (mal wieder) wer angegriffen fühlen sollte.
Das ist aber doch üblich in allen Firmen, egal ob mit fünf oder fünftausend Angestellten. Und das ist auch gut so. Man muss nicht alles immer gleich zum Skandal hochkochen. Es gibt ein Problem und man bedankt sich, dass man darauf aufmerksam gemacht wurde und wird sich darum kümmern. Mehr ist es meist auch nicht. Zur Riesensache wird es meist nur von der Konkurrenz oder der Presse gemacht. Comedy kann ich da immer noch nicht erkennen.
@Tenten: Richtig!
Wichtig ist, dass das Problem ernst genommen wird. Ob man die Sache hochkocht oder nicht, wird die notwendige Lösung nicht verschnellern. Information ist zwar wichtig, aber man darf nie vergessen, dass auch Journalismus einem knallharten Konkurrenzkampf unterliegt und es sich von Sensationsschlagzeilen, Fakenews, tendenziöser Propaganda und sonstigem aufgeblasenem Gebashe besser leben lässt als von der einfachen Wahrheit. Da geht es oft nur um Quoten und Kohle aber nicht um Informationsqualität.
@Tenten "Das ist aber doch üblich in allen Firmen, egal ob mit fünf oder fünftausend Angestellten."
--> "Das ist übrigens allgemeingültig"
Hallo. Meine Bemerkung hat sich nicht ausschließlich auf Apples Statement bezogen und ist unabhängig vom hier im Artikel genannten Problem zu bewerten! Deshalb sagte ich "Zum Thema-", weil das eine mit dem anderen nicht zwangsläufig zu tun hat. Das eine ist die korrekte Reaktion auf ein potentielles Sicherheitsproblem (und das kritisiere ich hier auch nicht), das andere die übliche Gratwanderung und durchsichtiger PR Speech. Letzteres ist Stoff, der für MICH amüsant ist --> "Wer das selbst mal miterlebt hat, wird es wahrscheinlich besser nachvollziehen können."
Wo ist da das "Hochkochen"?
Ich erlebe es eigentlich ziemlich häufig selbst mit, kann aber daran nichts amüsantes finden. Ist halt tägliches Geschäft, aber nicht unterhaltsam.
Wie du meinst.
Das Problem an der Sache ist doch, dass dieser Fehler seit Monaten bekannt ist. Da bringt es wenig, wenn er in zwei Tagen gefixt ist. Die Menschen, die diese Lücke ausnutzen wollten haben es schon, oder werden es noch rechtzeitig machen...
Ich habe die App mal gelöscht, nutze eh nur Gmail