Sicherheitslücke Apple Mail für iOS – Wie kann man sich schützen?
Vor einigen Tagen sind schwerwiegende Sicherheitslücken beim Mail-Client Apple Mail auf iOS-Geräten aufgefallen. Diese Sicherheitslücke soll schon seit iOS 6 vorhanden sein. Security-Experten der Firma ZecOps bemerkten die Schwachstellen bei Routinekontrollen von Kundengeräten. Im weiteren Verlauf wurden Beweise für gezielte Angriffe aufgedeckt und in einem Bericht veröffentlicht.¹ Wir geben Ihnen Tipps, wie Sie sich schützen können.
Konkrete Angriffsmöglichkeiten und Unterschiede je iOS-Version
Erstaunlicherweise ist bei der neueren Version iOS 13 das reine Empfangen der E-Mail ausreichend, um die Schwachstelle auszulösen. Bei iOS 12 und früheren Versionen ist das Öffnen der E-Mail erforderlich. Allerdings kann auch bei iOS 12 der Angriff ohne Einwirkung (zero-click attack) ausgelöst werden, wenn der Angreifende den Mail-Server kontrolliert. Ein konkretes Angriffsszenario ist bei User-Konten des sozialen Netzwerks Instagram sichtbar geworden. Durch die E-Mail-Benachrichtigung von Instagram erhielten User E-Mails mit der Meldung eines Login-Versuchs. Durch die Sicherheitslücke des Mail-Clients Apple Mail konnten Angreifende diese Benachrichtigungen direkt im Mail-Account des Opfers löschen, sodass die User den Angriff nicht bemerkten.
Bin ich betroffen? Wie kann ich mich schützen?
Von den beschriebenen Sicherheitslücken ist nur der von Apple entwickelte Mail-Client Apple-Mail von iOS und iPadOS betroffen. Anwendungen von Drittanbietern, wie Gmail oder Outlook, sind nicht betroffen. Um sich zu schützen, sollten Sie zunächst die Mail-App schließen. Der sicherste Weg ist derzeit die Entfernung der App vom Gerät, um die Synchronisierung von Postfächern zu verhindern. Die App kann jederzeit nach Schließung der Sicherheitslücke ohne Probleme wieder installiert werden. Ob Ihr Instagram-Account von Attacken betroffen ist, können Sie ganz einfach überprüfen. Über die drei Streifen im Instagram-Profil kann auf die Einstellungen zugegriffen werden. Dort navigieren Sie zum Punkt Sicherheit und dann zu E-Mails von Instagram. An dieser Stelle kann eingesehen werden, ob Instagram Ihnen sicherheitsrelevante E-Mails zugesandt hat.
Einschätzung zur Sicherheitslücke – Kritikalität
Das BSI bewertet die beschriebenen Sicherheitsprobleme als besonders kritisch. Selbst riesige Konzerne wie Apple haben große Probleme bei der Erstellung sicherer Software. Dies zeigt einmal mehr, dass blindes Vertrauen in die großen Techkonzerne nicht unbedingt die beste Entscheidung ist. Dass eine solche Sicherheitslücke solange bestehen konnte ohne aufzufallen, sollte uns alle sensibilisieren.
Schützen Sie sich und Ihre Daten!
¹Youve got 0 click mail: in: Zecops, [online] https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/ [29.04.2020].