Sicherheit - Symbolbild

28. April 2020

Roman van Genabith

Sicherheitsforscher zur Lücke in Mail-App: Apples Kommunikation ist nicht ideal

Verschiedene Sicherheitsforscher sind nicht glücklich mit Apples Kommunikation zu der Lücke in der Mail-App unter iOS. Apple hatte erklärt, man habe keine Hinweise darauf finden können, dass die Lücke bereits gegen iPhone-Nutzer eingesetzt worden sei. Die Experten meinen nun: Diese Aussage sei überhaupt nicht beweisbar.

Apples Mail-App unter iOS weist eine gravierende Lücke auf, die bereits seit iOS 6 in der Anwendung schlummert, Apfelpage.de berichtete. Sie ermöglicht es einem Angreifer, nicht nur Zugriff auf Mails zu nehmen und diese etwa zu kopieren oder zu löschen, sondern auch auf weitere Bereiche von iOS zuzugreifen.

Alle aktuellen iOS-Versionen bis einschließlich iOS 13.4.1 sind von der Lücke betroffen, während die Beta von iOS 13.4.5, dem kommenden Update, bereits einen Fix der Schwachstelle enthält. Kürzlich hatte sich Apple zu der Lücke geäußert, die von der Sicherheitsfirma ZecOps entdeckt wurde. Wie wir in einer weiteren Meldung berichtet hatten, wies Apple darauf hin, dass man keine Hinweise habe finden können, die darauf hindeuteten, dass die Lücke bereits ausgenutzt worden ist, um Nutzer anzugreifen.

Sicherheitsforscher: Angriffe vermutlich kaum zu entdecken

Verschiedene führende Experten sind mit dieser Kommunikation von Apple nicht ganz zufrieden. Die vorliegende Lücke erfordere einen komplizierten Angriff, da stimmen die Experten mit Apple überein. Drei Schwachstellen in Mail müssen kombiniert ausgenutzt werden, um echten Schaden zu verursachen und etwa auf Mails zuzugreifen. Das impliziere, dass kein 0815-Hacker diese Schwachstelle ausnutzen wird. Es lasse aber keinen Schluss darüber zu, ob nicht in der Vergangenheit auf diesem Wege Nutzer ausgespäht worden sind. Tatsächlich werde diese Art von Lücke eher für hochgradig individualisierte Angriffe ausgenutzt, erklärt auch Patrick Wardle, ein Sicherheitsspezialist mit NSA-Vergangenheit, der inzwischen in die Privatwirtschaft gegangen ist. Ein spezifischer Angriff auf ausgewählte relevante Ziele unter Ausnutzung dieser Schwachstelle sei nicht auszuschließen. Dass es keine Hinweise darauf gibt, bedeute nicht, dass es nichts derartiges gegeben habe, machen die Experten klar. Es wäre hilfreich, würde Apple erklären, wie man zu der beschwichtigenden Aussage in Richtung der Nutzer gekommen ist.
Die Aktualisierung auf iOS 13.4.5, die das Problem beseitigt, wird wohl in einigen Wochen für alle Nutzer veröffentlicht werden.

Weitere Artikel

Apple möchte Apple Stores im Mai wieder öffnen

iPhone SE: Haptic Touch funktioniert nicht überall

5 Gedanken zu „Sicherheitsforscher zur Lücke in Mail-App: Apples Kommunikation ist nicht ideal“

  1. Was soll daran beweisbar sein? Beweisbar wird wohl sein dass sie keine Hinweise bekommen haben dass die Lücke ausgenutzt wurde. Ob sie dennoch ausgenutzt wurde es vielleicht nicht beweisbar aber das war nicht die Aussage von Apple. Die haben nur einfach keine Hinweise darauf. Also was soll die Rumreiterei auf diese Sätze
    • Liest Du auch die Artikel die Du kommentierst? Das sehr schwache Statement seitens Apple:“… man habe keine Hinweise darauf finden können, dass die Lücke bereits … eingesetzt worden sei“, ist für mich nicht nur „nicht ideale Kommunikation“, sondern grenzt an völlige Arroganz dem schweren Fehler gegenüber. Und jetzt dauert das dagegen benötigte UpDate auch noch Wochen☹️
  2. iOS ist nicht mit Windoof vergleichbar. Eine harmlose Schwachstelle wie bei Mail spiel da keine Rolle. Apple hat wie immer alles richtig gemacht und den Fehler bereits behoben. Kommt mit dem nächsten Update.

Die Kommentare sind geschlossen.