Kein Update in Sicht: Kritische Sicherheitslücke in Apple Mail auf iPhone und iPad

Drei Wochen nach Bekanntwerden der prikären Sicherheitslücken auf Apple Geräten schweigt sich der Hersteller weiter aus.

Lesedauer: 3 Minuten

Traurig aber wahr. Vor drei Wochen schon wurde die kritische Sicherheitslücke in Apples Mailprogramm für iPhones und iPads bekannt. Wir berichteten: Sicherheit gibt es nur durch dauerhaften Verzicht auf Handy-Apps wie zurzeit Apple Mail1)https://www.itk-security.de/sicherheit-gibt-es-nur-durch-dauerhaften-verzicht-auf-handy-apps-wie-zurzeit-apple-mail/.

Apple versprach schnelle Abhilfe2)https://www.heise.de/mac-and-i/meldung/Mail-Sicherheitsluecke-in-iOS-Apple-verspricht-schnellen-Patch-4709192.html. Passiert ist indes nichts.

Wie die Sicherheitsforscher von ZecOps berichteten, sei die Schwachstelle bereits vielen Jahren existent und auch entsprechend ausgenutzt worden3)https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/. Apple dagegen möchte von den Vorwürfen nichts wissen und betont, es gäbe keine Beweise dafür4)https://www.heise.de/mac-and-i/meldung/Mail-Sicherheitsluecke-in-iOS-Apple-verspricht-schnellen-Patch-4709192.html.

Da mag man glauben wem man will. Das BSI rät Nutzern dazu, die Mail App zu löschen oder wenigstens die Synchronisation gänzlich abzuschalten5)https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html. Wir schließen uns dieser Meinung an und informierten unsere Kunden ebenfalls vor drei Wochen bereits in unserem Bericht6)https://www.itk-security.de/sicherheit-gibt-es-nur-durch-dauerhaften-verzicht-auf-handy-apps-wie-zurzeit-apple-mail/ sowie über unseren Sondernewsletter7)https://mailchi.mp/f77ed3eb2197/itk-sondernewsletter-apple-mail-auf-iphone-und-ipad-bitte-nicht-mehr-starten darüber.

Fakt ist: Bis heute, ganze drei Wochen nachdem die kritische Sicherheitslücke Ihre Runde in der Presse machte, nichts. Es gibt kein Update, das das Problem behebt. Apple schweigt sich aus.

Es ist mittlerweile davon auszugehen, dass die Sicherheitslücke bereits im Jahr 2010, also vor rund zehn Jahren schon, auch in alten iOS Betriebssystemen der Apple iPhones und Apple iPads vorhanden war8)https://www.finanzen.net/nachricht/aktien/sicherheitsluecke-neue-informationen-alle-apple-iphones-offenbar-anfaellig-fuer-attacken-8857467?utm_campaign=browser_notification&utm_source=desktop. Den Angaben des BSI zufolge „soll es Angreifern möglich sein, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit sei das Lesen, Verändern und Löschen von E-Mails möglich.“ (vgl. Neue Informationen: Alle Apple-iPhones offenbar anfällig für Attacken9)https://www.finanzen.net/nachricht/aktien/sicherheitsluecke-neue-informationen-alle-apple-iphones-offenbar-anfaellig-fuer-attacken-8857467?utm_campaign=browser_notification&utm_source=desktop).

In etwa einem Monat, am 22. Juni 2020, startet Apples Worldwide Developer Conference 202010)https://www.apple.com/de/newsroom/2020/03/apples-wwdc-2020-kicks-off-in-june-with-an-all-new-online-format/. Dort soll das neue Apple Betriebssystem für mobile Geräte vorgestellt werden. Ob es Apple bis dahin für nötig hält, ein Update zu veröffentlichen und ob dieses dann nur für neue oder auch für ältere Geräte erhältlich sein wird, bleibt abzuwarten.

Dies ist nicht die erste kritische Sicherheitslücke in Apple Geräten. Auch hier kann man nur sagen, ganz im Gegenteil. Normalerweise werden von Geräteherstellern, globalen Unternehmen (Stichwort Industriespionage) und mutmaßlich auch Regierungen große Summen an Hacker gezahlt, die neue Sicherheitslücken – sogenannte „Exploits“ – ausfindig und für wohl eher unlautere Zwecke ausnutzbar machen. Für Apple Geräte gibt es davon so viele, dass der Markt offenbar erschöpft ist, berichtet heise11)https://www.heise.de/mac-and-i/meldung/Angebot-zu-gross-Exploit-Haendler-verliert-Interesse-an-manchen-iOS-Bugs-4721442.html.

Bis auf Weiteres bleibt unsere Empfehlung deshalb unverändert: schalten Sie die E-Mail Synchronisation auf iPhones und iPads ab oder besser noch, löschen Sie die App komplett.

Wer zu 100% auf Nummer sicher gehen will, verzichtet auf Mobiltelefone.

patrick.ruppelt