Das Bundesamt für Sicherheit in der Informationstechnik hat eine offizielle Warnung vor Schwachstellen in der aktuellen iOS-Version 13.4.1 herausgebracht.
iPhones durch Zero-Day-Lücken in Apple Mail angreifbar
Nachdem am Mittwoch eine Sicherheitsfirma schwere Sicherheitsprobleme in der Mail-App fürs iPhone und iPad aufgedeckt hat, gibt es nun auch eine behördliche Warnung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält die zwei Lücken für "besonders kritisch".
Gravierende Sicherheitslücke in iOS
In Apples vorinstallierter Mail-App für iPhones und iPads haben US Sicherheitsforscher gravierende Sicherheitslücken gefunden. Diese ermöglichen Angreifern weitreichende Zugriffe auf das angegriffene Gerät.Das BSI schätzt diese Sicherheitslücke als besonders kritisch ein.
Danach muss die "verseuchte" E-mail nicht einmal geöffnet werden. Der reine Empfang auf dem IOS Gerät reicht für eine Infektion aus. Aktuell gibt es noch keinen Patch, der diese Lücke schließt. Inwieweit Firewalls diese neue Bedrohung erkennen und abwehren, ist derzeit ebenfalls noch unklar.
Das BSI empfiehlt bis zur Schließung der Sicherheitslücken:
- Löschen der App "Mail" oder Abschaltung der Synchronisation
- Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegreifen
- Das von Apple angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es zur Verfügung steht
Mit den Bugs sei "potenziell das Lesen, Verändern und Löschen von E-Mails möglich", erklärte die Behörde am Donnerstag. Zuvor hatte die amerikanische IT-Sicherheitsfirma ZecOps erklärt, sie habe Hinweise darauf gefunden, dass die Schwachstellen in einigen Fällen bereits ausgenutzt worden seien. Es habe sich dabei um sehr gezielte Attacken gehandelt. Sie hätten allerdings auf den betroffenen Geräten keinen Softwarecode der Schadprogramme mehr entdecken können, erklärten die Forscher.
Apple will die Schwachstellen schliessen
Apple will die Schwachstellen mit der nächsten Version seines Mobil-Betriebssystems iOS schließen – in der Beta von iOS beziehungsweise iPadOS 13.4.5 sind sie bereits gestopft. Einen wirksamen Schutz wird es daher erst geben, wenn das Update für alle Nutzer verfügbar ist. Das BSI empfiehlt, die Mail-App vorerst zu löschen, auf Alternativen auszuweichen und/oder zumindest die Synchronisation abzuschalten. Verfügen Angreifer neben dem Mail-Exploit auch noch über weitere Angriffstechniken, soll es auch möglich sein, das komplette Betriebssystem zu übernehmen, warnt ZecOps.
Sechs Attacken, Europa auch dabei
ZecOps konnte nach eigenen Angaben Hinweise auf sechs Attacken auf Basis der Sicherheitslücken feststellen. Unter den Zielen der Angriffe seien Manager großer US-Unternehmer sowie eines japanischen Mobilfunk-Anbieters sowie ein Journalist in Europa gewesen.
Anders als bei vielen Angriffen muss der Nutzer den Experten zufolge nicht erst eine Datei im Anfang anklicken, sondern es reicht schon, die präparierte Mail selbst zu öffnen. "Das BSI schätzt diese Schwachstellen als besonders kritisch ein", erklärte deshalb die Behörde, die unter anderem die Kommunikation der Bundesregierung absichert. Zugleich stehen solche Sicherheitslücken hoch im Kurs, weil sie Angreifern nur etwas nutzen, solange sie unentdeckt bleiben. Deshalb werden sie meist nur sehr gezielt gegen besonders wertvolle Ziele eingesetzt.
Apple Profis und Mac Experten in Hamburg
Sie benötigen Unterstützung bei der Umstellung auf alternative E-Mail App? Rufen Sie uns an:
Quellennachweis: Heise