Gestern hörte ich von einem schwerwiegenden Fehler, der die Mail App auf den iOS-Geräten iPhone und iPad betrifft. Ich habe dem persönlich keine besondere Bedeutung beigemessen. Sowohl die Beschreibung des Mechanismus und der Auswirkung hörte sich aber schon schwerwiegend an, deshalb habe ich heute reagiert. Welche Sicherheitslücken gibt es in iOS Mail?
Laut Pressemitteilung des BSI gibt es zwei schwerwiegende Sicherheitslücken in der von Apple vorinstallierten Mail App auf den iOS-Geräten, die ab iOS 13 dazu führen können, daß eine Email im Hintergrund ohne Einfluss des Nutzers das Gerät kompromittieren kann. Grundsätzlich ist dieser Fehler seit iOS 6 in der Mail App vorhanden, aber erst ab iOS 13 läuft ein Prozess im Hintergrund, der diese Email unbemerkt vom Nutzer öffnet und verarbeitet. Damit sei es laut BSI-Präsident Arne Schönbohm möglich, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren.
Apple hat bereits eine Version iOS 13.4.5 in Vorbereitung, hat diese aber noch nicht verteilt. Damit ist diese Lücke auf allen produktiven Geräten angreifbar.
Empfehlung des BSI
Folgende Empfehlungen sprach bereits gestern das BSI aus:
- Löschen der App Mail oder Abschaltung der Synchronisation
- Nach Umsetzung von Punkt 1 kann zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegriffen werden
- Das von Apple angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es zur Verfügung steht
Heute bekam ich mit, wie bei großen Firmen mit solchen Empfehlungen umgegangen wird. Die Security-Abteilung dieser Firma hat diese Pressemitteilung des BSI sehr ernst genommen, und eine interne Empfehlung an alle Mitarbeiter mit iOS-Geräten ausgesprochen. Die IT instruierte den VIP-Support, damit sie kritische Mitarbeiter bei der Umsetzung des BSI-Vorschlages unterstützt konnten. Das hat mich persönlich sehr beeindruckt, wobei ich das Löschen der Mail App als zu weitgehenden Schritt angesehen habe, denn dabei verliert man lokal gespeicherte Nachrichten und muss diese bei IMAP-Verwendung erneut herunterladen. Ich hätte eher die Empfehlung BSI für Bürger: iOS-App “Mail”: so schützen Sie E-Mails und Geräte verteilt, die vorsieht die Email-Konten bis zum nächsten iOS-Update zu deaktivieren.
Deswegen meine Empfehlung an alle iOS Mail Nutzer: deaktiviert eure Email-Konten und installiert separate Mail-Applikationen eurer Email-Hoster.
Eigene Erfahrungen mit anderen Email-Apps
Ich habe das heute auch mit meiner Haupt-Emailadresse gemacht und die Mail.de-App installiert. Was mich dort ein wenig abgeschreckt hat ist die Tatsache, daß trotz aktivierter Zweifaktor-Authentifizierung (2FA) ein einfacher Login mit Email-Adresse und Passwort möglich ist. Der zweite Faktor wurde NICHT abgefragt. Der zweite Faktor wird nur abgefragt, wenn man über den Browser auf die Mail.de-Webseite geht und sich einloggt.
Meiner Meinung nach ist das nachlässig, da jeder Zugang auf das Email-Konto (egal über welchen Weg) mit einem zweiten Faktor heutzutage abgesichert sein müßte. Meine Erwartungshaltung ist, daß wenigstens beim erstmaligen Login über die App die 2FA anlaufen müßte. Warum das so sein sollte, könnt ihr in meinem Beitrag zu 2FA nachlesen.
Wie antwortet Apple?
Laut Mitteilung von heise sieht Apple kein “unmittelbares Risiko”. Laut Apple seien die Lücken “nicht ausreichend, um den Sicherheitsschutz von iPhone und iPad zu umgehen”. Alles wartet nun gespannt auf den Patch 13.4.5 in dem anscheinend die Lücken schon geschlossen seien.
Update 21.5.2020: Apple liefert iOS 13.5 aus
An diesem Tag wird mit iOS 13.5 auch ein Fix gegen die oben beschriebene Sicherheitslücke ausgeliefert. Nach Installation des Backups habe ich die deaktivierten Mailkonten wieder aktiviert und die Benachrichtungsoptionen bei Mail und Nachrichten wieder aktiviert. Die Benachrichtigungen der Apps von GMX und Mail.de habe ich wieder auf lautlos gestellt. Damit sollte die sichere Benutzung der Mail-App wieder möglich sein.
Ich bin gespannt, wie die Security-Abteilung meines Kunden reagieren wird. Möglich ist, daß sie wieder eine Kommunikation veröffentlichen, wonach Apples Mail-App wieder genutzt werden darf.
