Schwerwiegende Sicherheitslücken in iOS-Mail App (Update 21.5.2020)

(Update vom 21.5. am Ende des Textes)

Gestern hörte ich von einem schwerwiegenden Fehler, der die Mail App auf den iOS-Geräten iPhone und iPad betrifft. Ich habe dem persönlich keine besondere Bedeutung beigemessen. Sowohl die Beschreibung des Mechanismus und der Auswirkung hörte sich aber schon schwerwiegend an, deshalb habe ich heute reagiert.

Laut Pressemitteilung des BSI (Link) gibt es zwei schwerwiegende Sicherheitslücken in der von Apple vorinstallierten Mail App auf den iOS-Geräten, die ab iOS 13 dazu führen können, daß eine Email im Hintergrund ohne Einfluss des Nutzers das Gerät kompromittieren kann. Grundsätzlich ist dieser Fehler seit iOS 6 in der Mail App vorhanden, aber erst ab iOS 13 läuft ein Prozess im Hintergrund, der diese Email unbemerkt vom Nutzer öffnet und verarbeitet. Damit sei es laut BSI-Präsident Arne Schönbohm möglich, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren.

Apple hat bereits eine Version iOS 13.4.5 in Vorbereitung, hat diese aber noch nicht verteilt. Damit ist diese Lücke auf allen produktiven Geräten angreifbar.

Folgende Empfehlungen sprach bereits gestern das BSI aus:

  • Löschen der App Mail oder Abschaltung der Synchronisation
  • Nach Umsetzung von Punkt 1 kann zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegriffen werden
  • Das von Apple angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es zur Verfügung steht

Heute bekam ich mit, wie bei großen Firmen mit solchen Empfehlungen umgegangen wird. Die Security-Abteilung dieser Firma hat diese Pressemitteilung des BSI sehr ernst genommen, und eine interne Empfehlung an alle Mitarbeiter mit iOS-Geräten ausgesprochen. Der VIP-Support wurde instruiert, damit kritische Mitarbeiter bei der Umsetzung des BSI-Vorschlages unterstützt werden können. Das hat mich persönlich sehr beeindruckt, wobei ich das Löschen der Mail App als zu weitgehenden Schritt angesehen habe, denn dabei verliert man lokal gespeicherte Nachrichten und muss diese bei IMAP-Verwendung erneut herunterladen. Ich hätte eher die Empfehlung BSI für Bürger: iOS-App „Mail“: so schützen Sie E-Mails und Geräte (Link) verteilt, die vorsieht die Email-Konten bis zum nächsten iOS-Update zu deaktivieren.

Deswegen meine Empfehlung an alle iOS Mail Nutzer: deaktiviert eure Email-Konten und installiert separate Mail-Applikationen eurer Email-Hoster.

Eigene Erfahrungen mit anderen Email-Apps

Ich habe das heute auch mit meiner Haupt-Emailadresse gemacht und die Mail.de-App installiert. Was mich dort ein wenig abgeschreckt hat ist die Tatsache, daß trotz aktivierter Zweifaktor-Authentifizierung (2FA) ein einfacher Login mit Email-Adresse und Passwort möglich ist. Der zweite Faktor wurde NICHT abgefragt. Der zweite Faktor wird nur abgefragt, wenn man über den Browser auf die Mail.de-Webseite geht und sich einloggt.

Meiner Meinung nach ist das nachlässig, da jeder Zugang auf das Email-Konto (egal über welchen Weg) mit einem zweiten Faktor heutzutage abgesichert sein müßte. Meine Erwartungshaltung ist, daß wenigstens beim erstmaligen Login über die App die 2FA anlaufen müßte. Warum das so sein sollte, könnt ihr in meinem Artikel (Link) nachlesen.

Wie antwortet Apple?

Laut Mitteilung von heise (Link) sieht Apple kein „unmittelbares Risiko“. Laut Apple seien die Lücken „nicht ausreichend, um den Sicherheitsschutz von iPhone und iPad zu umgehen“. Alles wartet nun gespannt auf den Patch 13.4.5 in dem anscheinend die Lücken schon geschlossen seien.

Update 21.5.2020: Apple liefert iOS 13.5 aus

An diesem Tag wird mit iOS 13.5 auch ein Fix gegen die oben beschriebene Sicherheitslücke ausgeliefert. Nach Installation des Backups habe ich die deaktivierten Mailkonten wieder aktiviert und die Benachrichtungsoptionen bei Mail und Nachrichten wieder aktiviert. Die Benachrichtigungen der Apps von GMX und Mail.de habe ich wieder auf lautlos gestellt. Damit sollte die sichere Benutzung der Mail-App wieder möglich sein.

Ich bin gespannt, wie die Security-Abteilung meines Kunden reagieren wird. Möglich ist, daß sie wieder eine Kommunikation veröffentlichen, wonach Apples Mail-App wieder genutzt werden darf.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.