Amerikanische Sicherheitsexperten und die IT-Sicherheitsbehörde BSI warnen vor einer gefährlichen Sicherheitslücke in der E-Mail-App von iPhones. Ein Sicherheitsupdate gibt es aber noch nicht.
Suche
US-Sicherheitsforscher haben eine gravierende Sicherheitslücke in der E-Mail-App auf iPhones und iPad-Tablets entdeckt. Darüber können Hacker und Cyberkriminelle Schadsoftware auf das Gerät einschleusen, so die Experten von ZecOps in einem Blogbeitrag.
IT-Firma findet Schwachstellen in iOS-Betriebssystem der Apple-Mail-App
Die amerikanische IT-Sicherheitsfirma ZecOps erklärt, sie habe Hinweise darauf gefunden, dass zwei Schwachstellen in einigen Fällen bereits ausgenutzt worden seien. Es habe sich dabei um sehr gezielte Attacken gehandelt. Sie hätten allerdings auf den betroffenen Geräten keinen schädlichen Softwarecode mehr entdecken können, sondern nur Indizien dafür, erklärten die Forscher. Die Beschreibung weckte bei einigen anderen Branchenexperten Zweifel daran, ob man bereits von einem Nachweis erfolgreicher Attacken sprechen könne. Eigentlich melden Anwender wie Apple generell Sicherheitslücken. Doch das ist in diesem Fall nicht geschehen.
Sie sehen den Tweet über die entdeckte Sicherheitslücke in der iPhone Mail-App nicht? Hier geht's zum Beitrag von ZecOpsHackers may be attacking iPhones by exploiting a previously unknown flaw in the smartphone’s email software, according to digital-security company @ZecOps https://t.co/CGxz7Ei0uh via @WSJ
— ZecOps (@ZecOps) April 22, 2020
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlug Alarm und empfahl Nutzern, bis dahin die App zu löschen oder die Synchronisierung der Mails abzuschalten. Das funktioniert unter "Einstellungen>Passwörter & Accounts". Anschließend sollten Sie das E-Mail-Konto suchen und die Synchronisation von "Mail" ausschalten. Durch die Schwachstellen sei "potenziell das Lesen, Verändern und Löschen von E-Mails möglich", warnte die Behörde. Apple teilte mit, dem Konzern lägen keine Beweise vor, dass die Sicherheitslücken bereits zum Nachteil von Kunden genutzt wurden.
ZecOps konnte dagegen nach eigenen Angaben Hinweise auf mindestens sechs Attacken auf Basis der Sicherheitslücken feststellen. Unter den Zielen der Angriffe seien Manager großer US-Unternehmen sowie eines japanischen Mobilfunk-Anbieters, ein Journalist in Europa und ein nicht näher genannter "VIP in Deutschland" gewesen. Um wen es sich dabei handelt, ist bislang unklar.
Apple ergänzte, man sei von der Sicherheitsfirma auf drei Schwachstellen hingewiesen worden und habe auf Grundlage der vorliegenden Informationen entschieden, dass sie "kein unmittelbares Risiko für unsere Nutzer darstellen". Apple verwies auch darauf, dass für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden müssten.
Lesen Sie auch:DIESE beliebte WhatsApp-Funktion soll erweitert werden
iPhone Sicherheitslücke: Cyberkriminelle können im Hintergrund attackieren
Anders als bei vielen Angriffen muss der Nutzer den Experten zufolge nicht erst eine Datei im Anhang anklicken. Bei der aktuellen iOS-Version 13.4.1 sind die Fehler noch da. Somit könne die Attacke im Hintergrund ausgeführt werden. Anwender müssten dafür nicht einmal auf die schädliche E-Mail klicken. Beim vorherigen iOS 12 musste der Nutzer dafür die E-Mail öffnen und auf den enthaltenen Schadcode klicken. "Das BSI schätzt diese Schwachstellen als besonders kritisch ein", erklärte deshalb die Behörde, die unter anderem die Kommunikation der Bundesregierung absichert, am Donnerstagabend. ZecOps befürchtet jedoch, dass es in den verbliebenen Tagen bis zum Update eine massive Angriffswelle geben könnte, weil die Schwachstellen nicht mehr geheim sind und danach wertlos werden.
ZecOps zufolge würde ein angegriffener Nutzer lediglich merken, dass die E-Mail-App langsamer laufe - und bei missglückten Attacken könne sie abstürzen. Die Sicherheitsfirma habe im Februar erste Hinweise auf die Angriffe bekommen und steht seitdem in Kontakt mit Apple.
Wie will Apple die Sicherheitslücke schließen?
Apple will die Schwachstellen mit der nächsten Version seines Mobil-Betriebssystems iOS schließen. Die Mitte April veröffentlichte Vorab-Ausgabe von iOS 13.4.5 enthält bereits den entsprechenden Software-Code. Einen gesicherten Schutz wird es erst geben, wenn das Update für alle Nutzer verfügbar ist. Besitzer von Apple-Computern müssen sich keine Sorgen machen. Das Mail-Programm sei dort nicht betroffen, schreiben die Experten von ZecOps.
Folgen Sie News.de schon bei Facebook und YouTube? Hier finden Sie brandheiße News, aktuelle Videos, tolle Gewinnspiele und den direkten Draht zur Redaktion.
bos/sba/news.de/dpa