Sicherheitsexperten aus den USA haben im Betriebssystem für iPhone und iPad mehrere seit Jahren enthaltenen Lücken entdeckt, die Zugriff auf persönliche Daten erlauben. Noch vor der finalen Vorstellung eines entsprechenden Updates durch Apple hat man nun erste Details veröffentlicht.

 

iOS 13

Facts 

iOS für iPhone und iPad: Forscher entdecken Sicherheitslücke in Apples Mail-App

Wie unter anderem Vice in Berufung auf die Sicherheitsexperten von ZecOps berichtet, hat man in aktuellen Versionen von iOS – konkret geht es um die Mail-App – mehrere Lücken entdeckt. Diese Lücken können es entfernten Angreifern erlauben, Mails auszulesen, zu verändern oder zu löschen.

Die entdeckten Fehler sind seit mindestens iOS 6, welches im September 2012 vorgestellt wurde, bis hin zum aktuellen iOS 13.4.1 enthalten. Es könne aber auch noch frühere Versionen des Betriebssystems betreffen, welche die Experten jedoch nicht getestet haben. Erst das derzeit in der Beta-Phase befindliche iOS 13.4.5 beziehungsweise iPadOS 13.4.5 schließen die Sicherheitslücke. In Kombination mit weiteren Bugs sei theoretisch ein tieferer Zugriff auf die Daten in einem iPhone oder iPad möglich. Die Mail-App von macOS ist nicht betroffen.

Die Forscher entdeckten die Lücken im Rahmen einer Routine-Untersuchung. Dabei wurden ungewöhnliche Fehler in der Mail-App seit Januar 2018 entdeckt. Von den gezielten Angriffen waren unter anderem Manager, Journalisten und andere VIPs betroffen. Die Experten sind sich also sehr sicher, dass die Lücken „in der freien Wildbahn“ ausgenutzt wurden. Genauere Details, wer die Angreifer sind, nannte man nicht.

Für den Angriff reicht der Empfang einer speziell präparierten Mail. Unter iOS 12 muss diese vom Nutzer noch geöffnet werden, während selbst dies unter iOS 13 nicht länger nötig ist – es reicht also schon der Download der entsprechenden Nachricht auf das Smartphone oder Tablet. Ein Nutzer bemerkt den Angriff beispielsweise durch eine kurzzeitig langsamere Mail-App.

Fehlgeschlagene Angriffe äußern sich in iOS 12 durch einen Absturz von Mail. Unter iOS 13 ist dies nicht der Fall. In beiden Fällen können jedoch Mails im Posteingang verbleiben, die mit der Nachricht „Diese Nachricht hat keinen Inhalt.“ („This message has no content.“) versehen sind. Die Forscher gehen davon aus, dass diese Nachrichten im Falle eines gelungenen Angriffs gelöscht werden.

Auch das iPhone 11 mit der aktuellen iOS-Version ist von dem Fehler betroffen:

Das iPhone 11 im Hands-On

Sicherheitslücke in iOS und iPad: So schützt man sich gegen die Angriffe

Die Forscher haben Apple bereits im Februar 2020 über die Lücken informiert. Der Fehler wurde aber bislang nur in der aktuellen Beta-Version (derzeit Beta 2) von iOS und iPadOS 13.4.5 geschlossen. Die Angreifer wissen, dass die von ihnen verwendeten Lücken entdeckt wurden. Es ist laut ZecOps daher möglich, dass sie nun möglichst viele Geräte durch die Fehler erreichen wollen bis Apple ein finales Update bereitstellt.

Die Beta-Version von iOS 13.4.5 steht zahlenden Entwicklern sowie den Teilnehmern des öffentlichen Beta-Programms zum Download bereit. Ein einfacherer Schutz ist jedoch eine Deaktivierung von Apples Mail-App und die Nutzung eines alternativen Mail-Programms, wie zum Beispiel Gmail oder Outlook, bis das Betriebssystem aktualisiert werden kann. Viele weitere technische Details zu den Lücken findet ihr im Bericht von ZecOps.

Holger Eilhard
Holger Eilhard, GIGA-Experte für iPhone, iPad, Mac und alles andere zum Thema Apple.

Ist der Artikel hilfreich?