Sicherheitslücke in Apple-Mail: Patch kündigt sich an
Alexander Trust, den 23. April 2020Die Sicherheitsfirma ZecOps weist nach, dass Hacker eine Sicherheitslücke in Apple-Mail für iPhone und iPad bereits ausgenutzt haben. Offenbar ist es möglich, Dateien von den Geräten der Betroffenen zu entwenden, seit iOS 13 sogar, ohne dass diese es merken.
Eine speziell präparierte E-Mail könne Apple Mail für iOS kapern. Der Speicher würde beim Ansehen zum Überlauf gebracht, und dann führten die Hacker eigenen Code aus. Laut ZecOps-Geschäftsführer Zuk Avraham habe sein Unternehmen den Fehler bei Routineuntersuchungen gefunden. Mindestens sechs Unternehmen sollen über die Lücke attackiert worden sein, und zwar teilweise bereits 2018.
Fehler schon Jahre alt?
Avraham datiert die Sicherheitslücke jedoch auf das Jahr 2012 und die Veröffentlichung von iOS 6; Nutzer von Apple Mail in macOS sind übrigens nicht betroffen. ZecOps konnte die aktive Nutzung der Sicherheitslücke jedoch nur für frühestens Januar 2018 in iOS 11.2.2 dokumentieren.
Mit iOS 13 sei das Problem allerdings noch gravierender geworden. Denn nun müssten Nutzer sich die manipulierten E-Mails nicht einmal mehr ansehen. Problematisch ist außerdem, dass die Angreifer die E-Mail im Nachhinein sogar löschen können, sodass auf den ersten Blick keine sichtbaren Spuren mehr vorhanden sind.
Komplexe Sicherheitslücke von Staaten genutzt
Natürlich gibt das Thema auch genug Inhalt für eine Agentengeschichte her. Denn zu den Opfern der Attacken, die bekannt sein sollen, zählten unter anderem ein Fortune-500-Unternehmen mit Sitz in den USA und ein Journalist in Europa.
iOS 13.4.5 behebt Fehler
Derzeit befindet sich iOS 13.4.5 noch im Betatest. Doch ZecOps zeigt, dass Apple die Sicherheitslücke darin bereits schließt. Beta 2 von iOS 13.4.5 veröffentlichte Apple am 15. April. Wann die finale Version bereitstehen wird, ist nicht bekannt.
Möglich ist außerdem, dass Apple auch wieder ein Update für ältere Geräte herausbringen wird.