** Verzerrte Meldungen um die Sicherheitslücke der Apple email-App in iphones und ipads (April 2020)

Seit einigen Tagen werden Anwender von Schlagzeilen wie „Sicherheitslücken in Mail-App bei Apple“ (Tagesschau) etc. verunsichert. Schauen wir uns das mal näher an….

Zitat aus der Tagesschau-TV-Meldung vom 24.04.2020:
„Das Bundesamt für Sicherheit in der IT warnt vor Sicherheitslücken in der MailApp von Apple iphones und ipads. Dadurch sei der unberechtige Zugriff auf eMails möglich. Die Behörde rät unter anderem dazu, die App zu löschen. Zuvor hatte eine IT-Firma vor Hackerangriffen gewarnt.“


Na dann zerlegen wir doch mal die Tagesschau-Meldung.

„Das Bundesamt für Sicherheit in der IT“

Ach ja, dasselbe Amt, das 2013 sagte, es „pflegt keine Zusammenarbeit mit der NSA“?
Das stimmt wohl auch; aber andere Einrichtungen wie der BND und der für Europa zentrale in Deutschland befindliche Internetknoten DECIX taten es wohl doch .

warnt vor Sicherheitslücken in der MailApp von Apple iphones und ipads.“

Es fehlt ein kleiner Zusatz: Laut der Entdecker der Sicherheitslücke existiert die gravierende Sicherheitslücke mindestens seit 2012!

Dadurch sei der unberechtige Zugriff auf eMails möglich.

Ja; aber auch das ist nicht die ganze Wahrheit. Die Sicherheitslücke der MailApp erlaubt Angreifern das Ausführen beliebigen Codes im Kontext der Mail-Anwendung.
Das könnte ggf. heißen, dass im Rechte- und RAM-Kontext der Mail-App mehr möglich sein könnte, als nur der Zugriff, das Löschen oder Manipulieren von eMails, z.B. wenn von hier aus eine andere Sicherheitslücke im Betriebs
ystemkern ausgenutzt werden könnte; womit dann ggf. Vollzugriff auf das Gerät möglich sein könnte; was bisher jedoch nicht nachgewiesen wurde.
Ein Klick/Antippem des Benutzers ist übrigens nicht nötig; die Lücke kann seit iOS13 sogar ohne Aktion des Smartphone-Besitzers („zero-Click“) ausgenutzt werden; es müsse dazu lediglich die eMail-App im Hintergrund laufen, was bei den meisten Anwendern, die eMails auf Smartphones/Tablets lesen, der Fall ist.

„zuvor hatte eine IT-Firma vor Hackerangriffen gewarnt“

Zitat von iphone-ticker.de: „Angreifer benötigen lediglich die E-Mail-Adresse des Ziels und können dann Inhalte der Mail-App lesen, verändern oder löschen. (…) wurde die Schwachstelle zielgerichtet gegen Journalisten und Wirtschaftsgrößen eingesetzt“

Die Theorien, ob diese eine eMail-App-Sicherheitslücke ist oder ggf. eine Gefährdung der freien Presse oder gar eine unbeabsichtigte Backdoor werden in Kürze ins Kraut schießen. Bewiesen ist in diesem konkreten Fall die Backdoor-Theorie nicht. Aber dass es nicht unbedingt ratsam ist, eMails auf mehr Geräten zu lesen als unbedingt nötig, hat die NSA-Affäre gezeigt, ebenso wie die Tatsache, dass Geheimdienste, Behörden und Cyberkriminelle ein Smartphone in eine Wanze umwandeln können. Warum gerade ein Smartphone? Naja, es ist meist immer direkt am am Mann/der Frau, besitzt tonnenweise interessante Daten, hat ein Mikrofon sowie eine Kamera und ist aus Bequemlichkeitsgründen meist dauerhaft online.


Fazit – Ist Gefahr in Verzug und Eile von Nöten?

  1. Man sieht anhand dieser Meldung, dass die Tagesschau-Meldung (stellvertretend für viele Meldungen der Mainstreammedien) nicht falsch war. Sie enthielt aber auch nicht alle Wahrheiten.
  2. Die Lücke existiert seit mindestens 2012 und dürfte einschlägigen „Anwender von Sicherheitslücken“ längt bekannt gewesen sein. Das iphone/ipad ist also seit April 2020 nicht unsicherer und nicht sicherer als vorher. 🙂 Wer jetzt also auf Basis von einigen Tagen in Aktionismus verfällt, die eMails-App deaktiviert/löscht, 14 Tage auf das angekündigte Betriebssystemupdate wartet, nur um dann die eMail-App wieder zu aktivieren, gewinnt wohl nur psychologische Sicherheit (14 Tage öffentliches Wissen bzgl. der Lücke versus 8 Jahre Existenz der Lücke).
  3. Die Grundsatzfrage – auch für den eigenen Informations-Dauerstress – sollte nicht lauten: „Ab wann darf ich die eMails wieder auf iphone / ipad lesen?“ sondern „Brauche ich die eMails dort wirklich? Ist es beruflich nötig, ist es privat nötig oder nur ’nice to have‘ ?“. Diese Entscheidung hängt von Ihrem konkreten Anwendungsfall und von Ihrem Nutzungsprofil ab.
  4. Ein Betriebssystemupdate durch Apple (iOS 13.4.5), das diese Lücke schließt, ist bereits in Vorbereitung. Wer ein altes iphone verwendet, das keine Betriebssystemupdates mehr erhält (die Lücke existiert seit iOS 6, nachweislich ausgenutzt wurde die Lücke mindestens seit iOS 11.2.2), hat wahrscheinlich nicht nur diese Lücke als Problem.

Der Originalartikel der Sicherheitsforscher findet sich hier:

You’ve Got (0-click) Mail!

Man muss hervorheben, dass sich die Bughunter professionell verhalten haben, denn sie haben zuerst Apple informiert, um eine Beta-Version eines Betriebssystemupdates entwickeln und auf Nicht-Verwundbarkeit testen zu lassen. Im Original-Artikel wird ausdrücklich der Apple-Produktsicherheits-Abteilung für die Zusammenarbeit gedankt. („we would like to thank Apple’s product security and the engineering team that delivered a beta patch to block these vulnerabilities from further abuse“) Ein Apple-Bashing ist daher wohl nicht angebracht; denn wo Menschen Software programmieren, passieren Fehler.

Hat Ihnen dieser Beitrag gefallen oder geholfen?
Bedanken Sie sich? Mit einer kleinen Anerkennung für die inhaltliche Arbeit?
Jeder Betrag ist willkommen. Lieben Dank!