Mail für iOS: Ist die Sicherheitslücke noch ein Problem?

Push-Nachrichten von MacTechNews.de

Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Forum>Software>Mail für iOS: Ist die Sicherheitslücke noch ein Problem?

mtths11.05.2010:05

Vor etwa drei Wochen erschien diese Meldung...

... und die Empfehlung, Mail für iOS nicht mehr zu verwenden. Ein Update auf iOS 13.4.5 Anfang Mai sollte das Problem beheben. (Warum eigentlich .5? Mein iPad zeigt bei 13.4.1 an, dass es auf dem aktuellen Stand sei. Was ist dann mit 13.4.2 / .3 / .4 ?)

War das Problem vielleicht gar nicht so schlimm? Können wir Mail wieder verwenden?

Vielen Dank für Eure Einschätzungen.

Umfrage

Mail iOS verwenden?

Das ist eine ernsthafte Sicherheitslücke.
31,6 %
Das ist eine Sicherheitslücke, aber ich gehe das Risiko ein und verwende Mail weiterhin.
55,3 %
Das ist eine Verschwörungstheorie. Mail kann verwendet werden.
13,2 %

Kommentare

MLOS11.05.2010:15

Es ist theoretisch möglich, Code auszuführen, jedoch nur im Kontext der Mail-App. Eine komplette Übernahme des Systems ist, so wie ich es verstanden habe, nicht möglich. Da die Lücke immer noch vorhanden ist, sollte jeder selbst entscheiden, ob man die Mail-App nutzen möchte. Ich sehe darin kein sonderlich großes Risiko, zumal du ja erst einmal eine Mail mit einem präparierten Inhalt erhalten musst. Drittanbieter-Apps sind nebenbei auch nicht die beste Lösung, weil oft die Mails auf Servern der App-Hersteller landen.

rene20411.05.2013:18

Jörn @ Mac-TV hat in seinem Forum sehr detailliert darüber geschrieben und hingewiesen, da zur Nutzung der Lücke eine "zweite" Sicherheitslücke vorhanden sein muss.
Ich nutze Mail.app auf meinen Geräten weiterhin.

„Gelassenheit und Gesundheit.. ist das wichtigste...“

M@rtin11.05.2014:02

Letzter Stand: mactechnews vom 6. Mai

JanWellem11.05.2014:48

Wer Public Betas nicht scheut, kann die PB3 von 13.5 installieren. Dort sollte die Lücke geschlossen sein. Ich mache das – obwohl ich normalerweise keine Betas auf Produktivgeräten installiere – derzeit auf dem iPhone und dem iPad so und habe keinerlei Schwierigkeiten.

MLOS11.05.2015:13

JanWellem

Davon ist zwingend abzuraten. Beta-Versionen sind einfach nicht dafür gemacht, auf Produktivgeräten installiert zu werden. Jeder Workflow unterscheidet sich und Fehler können jederzeit auftreten. Die Lücke gefährdet die Sicherheit nicht in solch einem Ausmaß, als dass die Beta erforderlich wäre. Wie Rene204 schon schrieb: Es bräuchte eine separate Sicherheitslücke, um code außerhalb des Kontextes der Mail-App ausführen zu können.

john11.05.2016:06

in unserer firma ist es nach wie vor untersagt postfächer über die ios eigene mail app zu nutzen.

„biete support. kostenlos, kompetent und freundlich. wähle zwei.“

Chuby11.05.2021:46

Lest euch mal den Kommentar von "MacMark" zu diesem vermeintlichen Bug durch. ...

Nachdem ich diesen Kommentar gelesen habe, nutze ich die Mail App jedenfalls wieder.
Auf diesem Weg mein "Danke" an MacMark....

Gruß Chuby

sierkb11.05.2022:31

heise (28.04.2020): Lücke in iPhone-Mail: Sicherheitsforscher glauben an aktive Ausnutzung
Während Apple keinen Nachweis sieht, dass über schwere Sicherheitslücken in iOS Daten abgegriffen wurden, bewerten IT-Security-Spezialisten die Lage anders.

heise, 28.04.2020

Wurden über eine weiterhin bestehende, schwere Lücke in Apple Mail für iOS und iPadOS 13.4.1 von Angreifern Daten abgegriffen oder Geräte übernommen?

Sicherheitsexperten, die die Bugs entdeckt haben, behaupten dies: Man habe bereits mehrere Angriffe auf Firmen und Einzelpersonen – darunter Manager, Journalisten und VIPs – protokolliert. Apple selbst sieht hingegen keine "direkte Gefahr" und will "keine Beweise" gefunden haben, dass die insgesamt drei Lücken in Apple Mail bereits "gegen Kunden verwendet" worden seien.

Schwer zu verifizieren

Zwei bekannte IT-Security-Forscher halten dies jedoch für eine kaum tragfähige Aussage. So meint Patrick Wardle, Sicherheitschef beim MDM-Spezialisten Jamf, ein früherer NSA-Mitarbeiter und in der Security-Szene weitläufig respektiert, es sei "nicht überraschend", dass es Apple nicht gelungen sei, unabhängig zu verifizieren, dass die Bugs "in der Wildnis" ausgenutzt worden seien. "Es ist unwahrscheinlich, dass Apple Beweise finden würde, wenn diese Lücken in hochgradig gezielten Angriffen verwendet wurden." Er forderte Apple auf, Details zu nennen, wie der Konzern zu dieser Einschätzung gekommen sei, so Wardle gegenüber dem Magazin Wired .

Wardles Kollege Will Strafach, bekannt unter anderem als Ersteller der Guardian Firewall für iOS-Geräte, sieht außerdem ein Problem in der Darstellung, es existiere keine "direkte Gefahr". Auch wenn ZecOps, das die Mail-Bugs entdeckt hatte, angab, es sei über sie nicht möglich, aus dem Mail-Programm auszubrechen, um das ganze iPhone zu übernehmen, müssten solche Fehler ernst genommen werden.

Mailbox-Daten absaugen

Ein Angriff, bei dem kein Klick notwendig ist – in diesem Fall reicht es, eine Mail im Hintergrund nur zu empfangen – könne verwendet werden, um die kompletten Mailbox-Daten abzuziehen. "Selbst die Aussicht, dass nur Nachrichten kopiert werden und sich die Angriffsmail dann selbst zerstört, macht wirklich Angst."

[…]

Wired (24.04.2020): Sneaky Zero-Click Attacks Are a Hidden Menace
Hacks that can play out without any user interaction may be more common than we realize, in part because they’re so difficult to detect.

-2