Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,
Was Anwender und Firmen seit jeher an iOS schätzen, ist die vergleichsweise große Sicherheit des Betriebssystems. Die Anzahl richtig gravierender Sicherheitslücken hielt sich in Grenzen und wenn welche bekannt wurden, behob Cupertino diese meist sehr zeitnah. Nicht so dieses Mal, wie es den Anschein hat
iOS-Mail mit gravierender Sicherheitslücke
Wie nun bekannt wurde, weist die iOS-Mail-App von Apple eine ganz eklatante Sicherheitslücke auf, die schon seit 2012 (also seit 8 Jahren) Bestand hat. Aufgedeckt wurde die Sicherheitslücke durch Sicherheitsforscher von Zecops der zudem so perfide ist, als dass ein Angriff so gut wie unbemerkt stattfindet.
Denn angegriffene Nutzer stellen kein wirklich atypisches Verhalten ihrer Mail-App auf ihrem iDevice fest: Einzige Ausnahme: Ein fehlgeschlagener Angriff kann zur Anzeige der Fehlermeldung „Der Inhalt dieser E-Mail kann nicht dargestellt werden“ führen – eine Fehlermeldung, die auch im normalen Alltagsbetrieb auftauchen kann.
Keine Übernahme des Gerätes möglich – doch Phishing stellt ein echtes Problem dar
Wie wir im Nachhinein wissen, wurde dieser Angriff mittels eines Tools auf dem Schwarzmarkt angeboten und eingesetzt – verschiedene Journalisten und Wirtschaftsgrößen wurden so attackiert. Nun wird nicht das iPhone an sich angegriffen sondern der Hack verbleibt innerhalb der Mail-App, kann dabei jedoch genauso großen Schaden anrichten.
Nicht nur, dass sich Mails mitlesen, abfangen & auf eigene Server umleiten lassen, auch die Manipulation ist möglich. Und genau hier liegt die größte Gefahr, wie die Security-Experten von Zecops erklären:
Die Schwachstelle ermöglicht die Ausführung von entferntem Code im Kontext [der für die Mail-App verantwortlichen iPhone-Prozesse] MobileMail (iOS 12) oder maild (iOS 13). Die erfolgreiche Ausnutzung dieser Schwachstelle würde es dem Angreifer ermöglichen, E-Mails zu leaken, zu verändern und zu löschen. Eine zusätzliche Kernel-Schwachstelle würde vollen Gerätezugriff ermöglichen – wir vermuten, dass diese Angreifer eine weitere Schwachstelle hatten.
Haben Angreifer Zugriff auf die Mails, können diese die gesamte digitale Identität des Opfers übernehmen. Dazu braucht es noch nicht ein mal ausgewiesene Hacker-Kenntnisse denn von nahezu jedem Online-Dienst, jedem genutzten Login (ob Amazon, Ebay, Otto.de usw.) lässt sich das Passwort mittels Zuschicken einer Mail mit temporären Passwort zurücksetzen. Dadurch können natürlich auch Name und Anschrift jederzeit geändert werden.
Somit ergibt sich auch für Euch eine entsprechende Gefahr und ist übrigens auch der Grund, warum ich immer einen Passcode auf jedem iPhone & iPad empfehle.
Abhilfe ist in Arbeit
Zecops hat das Problem umgehend an Apple übermittelt und Cupertino arbeitet mich Hochdruck daran, die Schwachstelle zu beheben und mit iOS 13.4.5 auszuliefern. Denn die zweite Public Beta von iOS 13.4.5 schließt laut Release-Notes genauso diese Schwachstelle in Mail weshalb ich von einer sehr zeitnahen Auslieferung des Updates ausgehe.
Da die Sicherheitslücke seit 2012 existiert, ist davon auszugehen, dass auch iOS 12 nochmals ein weiteres Update von Apple bekommt, auch hier hat Apple in den vergangenen Monaten regelmäßig Bugfix-Updates ausgeliefert.
Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick
Kaffeekasse
Spendiere mir einen Kaffee und unterstütze damit meinen Blog und mich bei der Arbeit
€5,00
Kommentar verfassen