Rückwirkend bis zur Version iOS 6 ist die iOS-App „Mail“ von zwei schwerwiegenden Sicherheitslücken betroffen. Dadurch ist es Angreifern möglich, mittels einer gesendeten E-Mail ein iPhone oder ein iPad zu kompromittieren.
Dies ermögliche ein potentielles Lesen, Ändern und auch Löschen von E-Mails auf dem befallenen Gerät. Derzeit wird noch untersucht, ob darüber hinaus weitere schädliche Aktionen durch die Angreifer möglich sein kann. Als sehr kritisch wird diese gefundene Schwachstelle durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingestuft.
Die iOS-App "Mail" auf iPhones & iPads ist von kritischen Schwachstellen betroffen. Das BSI rät dazu, die App zu deinstallieren oder die Synchronisation von Mails zu deaktivieren. Bei iOS13 wird bereits durch das Empfangen einer Mail die Schadwirkung ausgelöst. (1/x)
— BSI (@BSI_Bund) April 23, 2020
Als problematisch wird derzeit angesehen, dass Apple bislang noch kein Patch zur Schließung dieser Lücken zur Verfügung gestellt worden ist. Bis dies erfolgt ist rät das BSI den Anwendern, die unter Apple iOS laufende App zu deinstallieren oder die mit dieser App verknüpften Accounts bis auf Weiteres zu deaktivieren.
Der Präsident des BSI, Arne Schönbohm, sagte dazu: „Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen.“
Eine Ausnutzung dieser Schwachstellen unterscheiden sich dabei auch in den jeweiligen Versionen des iOS-Systems. Das reine Empfangen einer mit Schadsoftware versendeten Nachricht reicht unter der Version iOS 13 bereits aus, um diese Schwachstelle auszunutzen. Hingegen muss bis zur Version iOS 12 der Nutzer oder die Nutzerin die Mail auch tatsächlich öffnen, um die Software zu aktivieren.
Das empfiehlt das BSI
Abschaltung der Synchronisation oder Löschen der App „Mail“
Zurückgreifen auf andere Apps oder Webmail nach der Umsetzung von Punkt 1 zum Abrufen und Lesen von E-Mails
Schnellstmögliche Installation des von Apple angekündigte iOS–Updates, sobald es zur Verfügung steht