In Apples vorinstallierter Mail-App für iPhones und iPads haben US-Sicherheitsforscher gravierende Sicherheitslücken gefunden. Über sie könnten Angreifer mithilfe manipulierter Mails Schadcode auf die Geräte schleusen, schreibt das Analyse-Unternehmen Zecops in einem detaillierten Blogbeitrag. Apple hat die Lücke noch nicht geschlossen und bestritt, dass Hacker sich leicht Zugang verschaffen könnten.
Dennoch warnt auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Schwachstelle. Potenziell sei Fremden "das Lesen, Verändern und Löschen von E-Mails möglich". Das BSI empfiehlt, das Mailprogramm auf Apples Mobilgeräten abzuschalten oder zumindest seine Synchronisation auszuschalten (Unter "Einstellungen>Passwörter & Accounts" das E-Mail-Konto suchen und die Synchronisation von "Mail" ausschalten). Statt Apples Mail-App sollten Nutzer andere Mail-Apps nutzen oder ihre E-Mails im Browser lesen.
Um die Sicherheitslücke auszunutzen, müssten Angreifer den Arbeitsspeicher des angegriffenen Geräts überlasten. Das sei entweder durch große E-Mails, rtf-Dateien oder mehrteilige Mails möglich, heißt es im Bericht von Zecops. Das Opfer bekomme von der Attacke nichts mit. In der neuesten iOS-Version 13 sei es nicht einmal notwendig, dass die Angegriffenen auf die betreffenden E-Mails klicken, so das Unternehmen. Doch auch in der iOS-Version 12 falle die Attacke nicht sonderlich auf, hier müssten Nutzer jedoch zumindest auf die Mail mit Schadcode klicken. Zum ersten Mal aufgefallen sei den Zecops-Mitarbeitern die Nutzung der Lücken im Januar 2018. Vorhanden seien sie jedoch seit iOS 6, also bereits seit 2012.
Unter den Opfern der Attacke befinden sich demnach mehrere Mitarbeiter großer US-Unternehmen, ein Journalist aus Europa sowie eine prominente Person aus Deutschland. Nähere Angaben machte das Unternehmen nicht.
In der aktuellsten iOS-Version 13.4.1 sind die Fehler noch vorhanden. Apple sei durch die IT-Sicherheitsfirma informiert worden und habe die Lücke in der Beta-Version des Updates 13.4.5 bereits geschlossen. Bis dieses offiziell verteilt wird, kann es aber noch dauern.
Normalerweise veröffentlichen IT-Sicherheitsfirmen derartige Analysen erst, wenn die betroffenen Unternehmen - in diesem Fall Apple - die Probleme komplett behoben haben. Zecops schreibt dazu, dass sie seit der Veröffentlichung des Patches in der Beta-Version mehr Nutzung der Lücke sehen und sie deshalb die Öffentlichkeit so früh wie möglich informieren wollen. Nutzern, die sich schützen wollen, empfehlen die Experten, die offizielle Apple-Mail-App so lange nicht mehr zu verwenden, bis die Version 13.4.5 veröffentlicht ist und derweil auf alternative Mail-Programme auszuweichen.
Das Mail-Programm für Apple-Computer sei von den Lücken jedoch nicht betroffen, schreibt Zecops.
Mit Material von dpa
