Phisher kann Mac-App Airmail komplette E-Mail-Datenbank entlocken

Der Apple-Design-Award-Gewinner weist Sicherheitsforschern zufolge gravierende Lücken auf: Eine manipulierte Mail könne Daten abgreifen.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
Airmail

(Bild: Airmail)

Lesezeit: 2 Min.
Von
  • Leo Becker

Dem E-Mail-Client Airmail lassen sich unter Umständen Nutzerdaten entlocken: Mit einer manipulierten E-Mail sei es möglich, die Mac-App sogar dazu zu bringen, die Datenbank mit allen E-Mails des Nutzers an einen Angreifer zu verschicken, wie Sicherheitsforscher berichten. Der Nutzer müsse dafür nur dazu gebracht werden, einen Link in der E-Mail anzuklicken.

Das Problem bestehe darin, dass Airmail per Aufruf eines URL-Schemas eine E-Mail mit bestimmten Inhalt sowie Anhang automatisiert – und ohne Nutzerbestätigung – verschicken kann, wie die Sicherheitsfirma Versprite erklärt.

Der Mail-Client speichere seine Datenbank zudem standardmäßig mit einem immer gleichen Dateinamen in einem spezifischen Verzeichnis, dessen Pfad sich leicht erschließen lasse, führen die Forscher weiter aus. So könne die manipulierte Mail der App Airmail einfach auftragen, die Datenbank als Anhang mitzuschicken, in der sich die komplette gespeicherte E-Mail-Konversationen des Nutzers findet.

Man habe auch versucht, den Angriff mit einer manipulierten HTML-E-Mail auszuführen, die die Mail-Datenbank ohne jegliche weitere Interaktion verschickt, schreiben die Forscher, der Nutzer würde dann rein durch das Öffnen einer E-Mail kompromittiert, ein Link müsse nicht mehr angeklickt werden. Dieser Angriffsvektor habe bislang allerdings nicht zuverlässig funktioniert.

Als Workaround können Airmail-Nutzer zum Schutz die Bezeichnung ihres E-Mail-Accounts ändern, dann kann der Angreifer den Pfad zu der Datenbank nicht mehr einfach erraten. Die Schwachstellen wurden an die Airmail-Entwickler gemeldet, ein Update für die Mac-App dürfte in Kürze folgen. Airmail gehört zu den Alternativen für Apples vorinstallierte Mail-App und ist für macOS sowie iOS verfügbar. Apple hatte die App im vergangenen Jahr mit einem der begehrten Apple-Design-Awards ausgezeichnet.

[Update 23.8.2018 13:50 Uhr] Airmail steht inzwischen in Version 3.6 zum Download bereit. Das Update umfasst einen "URL Schema Security Fix". Ob dies alle geschilderten Schwachstellen beseitigt, bleibt vorerst offen. (lbe)