Das Bundesamt für Sicherheit in der Informationstechnik hat eine „offizielle Warnung“ ausgegeben und warnt vor Schwachstellen in der aktuellen IOS-Version 13.4.1 von Apple.
Am Mittwoch ist durch eine Sicherheitsfirma ein schwerwiegender BUG in der Mail-App von Apple aufgedeckt worden, Mittlerweile gibt es eine offizielle Warnung vom BSI
Mit den Bugs sei „potenziell das Lesen, Verändern und Löschen von E-Mails möglich“, erklärte die Behörde am Donnerstag. Zuvor hatte die amerikanische IT-Sicherheitsfirma ZecOps erklärt, sie habe Hinweise darauf gefunden, dass die Schwachstellen in einigen Fällen bereits ausgenutzt worden seien. Es habe sich dabei um sehr gezielte Attacken gehandelt. Sie hätten allerdings auf den betroffenen Geräten keinen Softwarecode der Schadprogramme mehr entdecken können, erklärten die Forscher.
Apple will die Schwachstellen mit der nächsten Version seines Mobil-Betriebssystems iOS schließen – in der Beta von iOS beziehungsweise iPadOS 13.4.5 sind sie bereits gestopft. Einen wirksamen Schutz wird es daher erst geben, wenn das Update für alle Nutzer verfügbar ist. Das BSI empfiehlt, die Mail-App vorerst zu löschen, auf Alternativen auszuweichen und/oder zumindest die Synchronisation abzuschalten (Schiebeschalter „Mail“ in den Mail-Accounts auf „aus“). Verfügen Angreifer neben dem Mail-Exploit auch noch über weitere Angriffstechniken, soll es auch möglich sein, das komplette Betriebssystem zu übernehmen, warnt ZecOps.
Es gab bis heute 6 Attacken weltweit, Europa ist auch dabei.
ZecOps konnte nach eigenen Angaben Hinweise auf sechs Attacken auf Basis der Sicherheitslücken feststellen. Unter den Zielen der Angriffe seien Manager großer US-Unternehmer sowie eines japanischen Mobilfunk-Anbieters sowie ein Journalist in Europa gewesen.
Anders als bei vielen Angriffen muss der Nutzer den Experten zufolge nicht erst eine Datei im Anfang anklicken, sondern es reicht schon, die präparierte Mail selbst zu erhalten. „Das BSI schätzt diese Schwachstellen als besonders kritisch ein“, erklärte deshalb die Behörde, die unter anderem die Kommunikation der Bundesregierung absichert. Zugleich stehen solche Sicherheitslücken hoch im Kurs, weil sie Angreifern nur etwas nutzen, solange sie unentdeckt bleiben. Deshalb werden sie meist nur sehr gezielt gegen besonders wertvolle Ziele eingesetzt. (mit Material der dpa)
BSI warnt vor Einsatz von iOS-App „Mail“
Quelle: BSI
OrtBonn
Datum23.04.2020
Die iOS-App „Mail“ ist auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich sind, ist Gegenstand weiterer Prüfungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Für die insgesamt zwei Schwachstellen stehen bislang keine Patches zur Verfügung. Medienberichten zufolge werden die Schwachstellen bereits aktiv ausgenutzt. So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App „Mail“ unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren.
Dazu BSI-Präsident Arne Schönbohm:
„Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen.“
Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden.
Das BSI empfiehlt:
- Löschen der App „Mail“ oder Abschaltung der Synchronisation
- Nach Umsetzung von Punkt 1 kann zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegriffen werden
- Das von Apple angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es zur Verfügung steht
BSI für Bürger: iOS-App „Mail“: so schützen Sie E-Mails und Geräte
Pressekontakt:
Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de
