Lücke in iOS-App Mailbox von Dropbox

Der E-Mail-Client Mailbox für iPhone und iPad führt Javascript in HTML-Mails beim Lesen aus. Die Entwickler haben jetzt einen Server-seitigen Filter eingebaut, der wohl aber auch noch Lücken hat.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Die aktuelle Version der Mailbox-App ist betroffen

Die E-Mail-App Mailbox für iOS, welche im März von Dropbox gekauft wurde, führt Javascript-Befehle in HTML-Mails standardmäßig aus. Dies stellt ein Sicherheitsrisiko dar, das aber durch die iOS-eigene Sandbox stark abgeschwächt wird. Auf iPhones mit Jailbreak könnte dieses Verhalten allerdings zur ernsten Gefahr für den Benutzer werden.

Mailbox ist eine für Google Mail konzipierte Anwendung, die es Anwendern ermöglichen soll, unter iOS besonders effektiv mit ihren Mails zu arbeiten. Die Entwickler bewerben die App damit, dass sie auch Nutzern mit hohem E-Mail-Aufkommen schnell zu "Inbox Zero" verhelfen soll – also dem Punkt, an dem alle E-Mails gelesen und abgearbeitet sind. Bei Experimenten mit dem E-Mail-Client entdeckte Michele Spagnolo, dass die aktuelle Version (Mailbox 1.6.2, die vor wenigen Tagen veröffentlicht wurde) Javascript in E-Mails nicht herausfiltert. So konnte er andere Apps und Webseiten im Browser öffnen, indem er eine speziell präparierte E-Mails öffnete.

Die Entwickler von Mailbox haben mittlerweile reagiert und bestätigt, dass das Problem existiert. Der Herausgeber hat nach eigenen Angaben jetzt eine Funktion auf seinen Servern eingerichtet, die Javascript-Tags aus Mails herausfiltert, bevor diese den Empfänger erreicht. Die Entwickler betonen, dass dies wichtig sei, da sie planen, Mailbox auch auf anderen Mobilplattformen anzubieten, die weniger gut als iOS gegen Javascript-Angriffe geschützt seien. Spagnolo erklärt jedoch, er habe schon Wege gefunden, den Server-seitigen Filter zu umgehen. Details hat er nach eigenen Angaben an die Mailbox-Macher weitergeleitet und will diese nicht veröffentlichen, um den Entwicklern eine Chance zu geben, den Filter zu verbessern.

Zumindest auf iPhones ohne Jailbreak scheint sich die Gefahr also in Grenzen zu halten. Trotzdem sollten die Entwickler aus Sicherheitsgründen darüber nachdenken, die Ausführung von Javascript-Tags auch auf der Client-Seite zu verhindern. Erst kürzlich deckte heise Security eine ähnliche Sicherhietslücke in der Webmail-Anwendung von Freenet auf. Hier wurde Javascript zwar herausgefiltert, allerdings so oberflächlich, dass sich der Filter einfach austricksen ließ. (fab)