Apple: Bug in Mail-App gefährdet iOS-Nutzer

24.04.2020
G DATA Blog

Nach Berichten über eine kritische Sicherheitslücke in der Mail-App in Apples iOS folgt nun auch eine offizielle Warnung des BSI. Einziger wirksamer Schutz vorerst: Die App löschen und auf Alternativen ausweichen.

Eine Sicherheitslücke im Mail-Client von Apples mobilem Betriebssystem iOS ist derzeit ungepatcht. Bis Apple ein entsprechendes Update herausgebracht hat, sollten Nutzer einen alternativen Mail-Client verwenden – das empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Angreifer können E-Mails mitlesen

Die Schwachstelle in der Mail-App kann einen Angreifer in die Lage versetzen E-Mail-Nachrichten des Opfers mitzulesen. Eine darüberhinausgehende Kompromittierung des Gerätes selbst ist aber nach dem derzeitigen Kenntnisstand nicht möglich. Nach Angaben der Firma ZecOps, die zuerst über das Problem berichtet hatte, wurden mindestens sechs Organisationen auf diesem Weg erfolgreich angegriffen.

Für einen erfolgreichen Angriff ist es nicht erforderlich, dass das Opfer einen Mailanhang öffnet oder anderweitig damit interagiert. Unter iOS 12 reicht es, eine entsprechend präparierte Mail im Mail-Client zu öffnen. In iOS 13 soll der Angriff sogar komplett ohne Nutzerinteraktion möglich sein, da der Angriff nicht direkt auf den Mail-Client ausgeführt wird, sondern auf den entsprechenden Hintergrundprozess namens "maild" (Kurzform von Mail Daemon). Dadurch kann ein Speicherüberlauf (Buffer Overflow) ausgelöst werden, der dem Angreifer die Ausführung von Code ermöglicht.

Tim Berghoff

Eine Sicherheitslücke wie diese hat eine sehr große Tragweite, da die "Mail"-App auf jedem iOS-Gerät vorinstalliert ist. Wer die Lücke ausnutzt, kann also eine große Zahl an Nutzern damit erreichen. Bis ein Update zur Verfügung steht, sollte die App also entweder deinstalliert oder zumindest so konfiguriert werden, dass Mails nicht mehr automatisch abgerufen werden.

Tim Berghoff

G DATA Security Evangelist

Alternative Mail-Clients nutzen

Bis ein Patch vorliegt, sollten Nutzer der aktuellen iOS-Version wenn möglich auf einen alternativen Mail-Client ausweichen. In Apples App-Store sind zahlreiche Varianten verfügbar. Alternativ kann auf das Webmail-Interface des jeweiligen Mailanbieters ausgewichen werden, was aber sicher mit Einbußen beim Komfort verbunden ist.

Von der Sicherheitslücke betroffen sind iOS-Geräte mit den Versionsnummern 6 - 13.4.1. Apple hat einen Patch in der Beta-Version von iOS 13.4.5 bereitgestellt. Ein Termin für einen endgültigen Patch liegt bislang nicht vor.

Von Hauke Gierow
Head of Corporate Communications

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein