Kein Update in Sicht: Kritische Sicherheitslücke in Apple Mail auf iPhone und iPad

Traurig aber wahr. Vor drei Wochen schon wurde die kritische Sicherheitslücke in Apples Mailprogramm für iPhones und iPads bekannt. Wir berichteten: Sicherheit gibt es nur durch dauerhaften Verzicht auf Handy-Apps wie zurzeit Apple Mail¹⁾https://www.itk-security.de/sicherheit-gibt-es-nur-durch-dauerhaften-verzicht-auf-handy-apps-wie-zurzeit-apple-mail/.

Apple versprach schnelle Abhilfe²⁾https://www.heise.de/mac-and-i/meldung/Mail-Sicherheitsluecke-in-iOS-Apple-verspricht-schnellen-Patch-4709192.html. Passiert ist indes nichts.

Wie die Sicherheitsforscher von ZecOps berichteten, sei die Schwachstelle bereits vielen Jahren existent und auch entsprechend ausgenutzt worden³⁾https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/. Apple dagegen möchte von den Vorwürfen nichts wissen und betont, es gäbe keine Beweise dafür⁴⁾https://www.heise.de/mac-and-i/meldung/Mail-Sicherheitsluecke-in-iOS-Apple-verspricht-schnellen-Patch-4709192.html.

Da mag man glauben wem man will. Das BSI rät Nutzern dazu, die Mail App zu löschen oder wenigstens die Synchronisation gänzlich abzuschalten⁵⁾https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html. Wir schließen uns dieser Meinung an und informierten unsere Kunden ebenfalls vor drei Wochen bereits in unserem Bericht⁶⁾https://www.itk-security.de/sicherheit-gibt-es-nur-durch-dauerhaften-verzicht-auf-handy-apps-wie-zurzeit-apple-mail/ sowie über unseren Sondernewsletter⁷⁾https://mailchi.mp/f77ed3eb2197/itk-sondernewsletter-apple-mail-auf-iphone-und-ipad-bitte-nicht-mehr-starten darüber.

Fakt ist: Bis heute, ganze drei Wochen nachdem die kritische Sicherheitslücke Ihre Runde in der Presse machte, nichts. Es gibt kein Update, das das Problem behebt. Apple schweigt sich aus.

Es ist mittlerweile davon auszugehen, dass die Sicherheitslücke bereits im Jahr 2010, also vor rund zehn Jahren schon, auch in alten iOS Betriebssystemen der Apple iPhones und Apple iPads vorhanden war⁸⁾https://www.finanzen.net/nachricht/aktien/sicherheitsluecke-neue-informationen-alle-apple-iphones-offenbar-anfaellig-fuer-attacken-8857467?utm_campaign=browser_notification&utm_source=desktop. Den Angaben des BSI zufolge „soll es Angreifern möglich sein, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit sei das Lesen, Verändern und Löschen von E-Mails möglich.“ (vgl. Neue Informationen: Alle Apple-iPhones offenbar anfällig für Attacken⁹⁾https://www.finanzen.net/nachricht/aktien/sicherheitsluecke-neue-informationen-alle-apple-iphones-offenbar-anfaellig-fuer-attacken-8857467?utm_campaign=browser_notification&utm_source=desktop).

In etwa einem Monat, am 22. Juni 2020, startet Apples Worldwide Developer Conference 2020¹⁰⁾https://www.apple.com/de/newsroom/2020/03/apples-wwdc-2020-kicks-off-in-june-with-an-all-new-online-format/. Dort soll das neue Apple Betriebssystem für mobile Geräte vorgestellt werden. Ob es Apple bis dahin für nötig hält, ein Update zu veröffentlichen und ob dieses dann nur für neue oder auch für ältere Geräte erhältlich sein wird, bleibt abzuwarten.

Dies ist nicht die erste kritische Sicherheitslücke in Apple Geräten. Auch hier kann man nur sagen, ganz im Gegenteil. Normalerweise werden von Geräteherstellern, globalen Unternehmen (Stichwort Industriespionage) und mutmaßlich auch Regierungen große Summen an Hacker gezahlt, die neue Sicherheitslücken – sogenannte „Exploits“ – ausfindig und für wohl eher unlautere Zwecke ausnutzbar machen. Für Apple Geräte gibt es davon so viele, dass der Markt offenbar erschöpft ist, berichtet heise¹¹⁾https://www.heise.de/mac-and-i/meldung/Angebot-zu-gross-Exploit-Haendler-verliert-Interesse-an-manchen-iOS-Bugs-4721442.html.

Bis auf Weiteres bleibt unsere Empfehlung deshalb unverändert: schalten Sie die E-Mail Synchronisation auf iPhones und iPads ab oder besser noch, löschen Sie die App komplett.

Wer zu 100% auf Nummer sicher gehen will, verzichtet auf Mobiltelefone.