Nach Berichten über eine kritische Sicherheitslücke in der Mail-App in Apples iOS folgt nun auch eine offizielle Warnung des BSI. Einziger wirksamer Schutz vorerst: Die App löschen und auf Alternativen ausweichen.
Die Schwachstelle in der Mail-App kann einen Angreifer in die Lage versetzen E-Mail-Nachrichten des Opfers mitzulesen. Eine darüberhinausgehende Kompromittierung des Gerätes selbst ist aber nach dem derzeitigen Kenntnisstand nicht möglich. Nach Angaben der Firma ZecOps, die zuerst über das Problem berichtet hatte, wurden mindestens sechs Organisationen auf diesem Weg erfolgreich angegriffen.
Für einen erfolgreichen Angriff ist es nicht erforderlich, dass das Opfer einen Mailanhang öffnet oder anderweitig damit interagiert. Unter iOS 12 reicht es, eine entsprechend präparierte Mail im Mail-Client zu öffnen. In iOS 13 soll der Angriff sogar komplett ohne Nutzerinteraktion möglich sein, da der Angriff nicht direkt auf den Mail-Client ausgeführt wird, sondern auf den entsprechenden Hintergrundprozess namens "maild" (Kurzform von Mail Daemon). Dadurch kann ein Speicherüberlauf (Buffer Overflow) ausgelöst werden, der dem Angreifer die Ausführung von Code ermöglicht.
Eine Sicherheitslücke wie diese hat eine sehr große Tragweite, da die "Mail"-App auf jedem iOS-Gerät vorinstalliert ist. Wer die Lücke ausnutzt, kann also eine große Zahl an Nutzern damit erreichen. Bis ein Update zur Verfügung steht, sollte die App also entweder deinstalliert oder zumindest so konfiguriert werden, dass Mails nicht mehr automatisch abgerufen werden.
Alternative Mail-Clients nutzen
Bis ein Patch vorliegt, sollten Nutzer der aktuellen iOS-Version wenn möglich auf einen alternativen Mail-Client ausweichen. In Apples App-Store sind zahlreiche Varianten verfügbar. Alternativ kann auf das Webmail-Interface des jeweiligen Mailanbieters ausgewichen werden, was aber sicher mit Einbußen beim Komfort verbunden ist.
Von der Sicherheitslücke betroffen sind iOS-Geräte mit den Versionsnummern 6 - 13.4.1. Apple hat einen Patch in der Beta-Version von iOS 13.4.5 bereitgestellt. Ein Termin für einen endgültigen Patch liegt bislang nicht vor.
**Sie erhalten den 15 % Willkommensgutschein in einer separaten Mail, sobald Sie Ihre E-Mail-Adresse bestätigt haben. Der Rabatt gilt ausschließlich für Neukäufe im G DATA Privatkunden-Shop. Kein Mindestbestellwert. Gutschein ist nicht mit weiteren Sale-Aktionen von G DATA kombinierbar. Alle Angebote sind gültig, solange der Vorrat reicht.