iPhones durch Zero-Day-Lücken in Apple Mail angreifbar
iOS-Nutzer sollten die Mail-App vorübergehend nicht benutzen, warnen Sicherheitsforscher. Schwachstellen erlauben unbemerktes Code-Einschleusen.
Der Angriff hinterlässt angeblich nur Spuren, wenn er fehlschlägt.
(Bild: ZecOps)
Entfernte Angreifer können offenbar über manipulierte E-Mails Schadcode auf iPhones und iPads einschleusen – bis hin zu Geräten mit der aktuellen Version iOS 13.4.1. Diese Schwachstellen in Apples vorinstallierter Mail-App werden bereits seit längerer Zeit für gezielte Angriffe eingesetzt, warnte die Sicherheitsfirma ZecOps am Mittwoch. Unter iOS 13 lassen sich Angriffe auf diesem Weg ohne Nutzerinteraktion unbemerkt im Hintergrund ausführen, schreiben die Sicherheitsforscher.
Unter iOS 12 klappe das nur, wenn der Angreifer auch Kontrolle über den Mail-Server hat, sonst müsse das Opfer erst dazu gebracht werden, die manipulierte E-Mail zu öffnen.
Apple-Patch liegt vor – aber noch nicht final
Ein Angreifer erhalte so Zugriff auf die Mail-App, könne bei Kenntnis einer Kernel-Schwachstelle aber auch das komplette iPhone oder iPad übernehmen, heißt es in dem Bericht. Die Lücken wurden an Apple gemeldet und der Hersteller hat diese in der Beta von iOS 13.4.5 inzwischen auch behoben, betont ZecOps, das Update ist aber noch nicht allgemein verfügbar.
Man habe sich dazu entschieden, die Öffentlichkeit schon vor Freigabe des Apple-Patches zu informieren, da man bereits mehrere Angriffe auf Firmen und Einzelpersonen – darunter Manager, Journalisten und VIPs – protokolliert habe. Angreifer seien sich vermutlich bewusst, dass Apple die Lücken bald schließen wird, deshalb könnten sie derzeit mit Hochdruck in größerem Umfang eingesetzt werden. ZecOps geht davon aus, dass die Schwachstellen seit vielen Jahren in iOS existieren und auch schon länger – unbemerkt – für gezielte Angriffe eingesetzt werden.
Opfer merken angeblich nichts
Dem Bericht zufolge merkt das Opfer meist nichts, möglicherweise komme es zu einer vorübergehenden Verlangsamung der Mail-App. Bei fehlgeschlagenen Angriffen könne man unter Umständen E-Mails mit dem Text "This message has no content" finden – dieser kann aber auch im Normalbetrieb erscheinen, seit iOS 13 klagen Nutzer teils über erhebliche Probleme mit der Mail-App.
Nutzer sollten vorerst auf die Verwendung von Apple Mail verzichten und auf einen alternativen E-Mail-Client ausweichen, schreibt die Sicherheitsfirma – oder die Public Beta von iOS 13.4.5 installieren.
[Update 23.4.2020 12:30 Uhr] In einem Nachtrag betonte der ZecOps-Chef, dass die Schwachstellen nur Apple Mail für iOS betreffen, nicht aber die Mac-Version. Um das Problem zu umgehen, reiche es die Synchronisation von E-Mail-Accounts abzuschalten – und die Mail-App nicht mehr zu verwenden. Den E-Mail-Abruf kann man in den Einstellungen unter "Passwörter & Accounts" steuern, der Datenabruf sollte hier auf manuell gestellt werden, Push muss man dabei zudem deaktivieren – bis der Apple-Patch vorliegt.
[Update_2 23.4.2020 14:30 Uhr] Mit iOS intim vertraute Sicherheitsforscher fordern mehr Details zu einer möglichen Ausnutzung der Schwachstellen: Ihm erschließe sich noch nicht, wie sich die von ZecOps beschriebenen Crashes dafür einsetzen lassen, das Einschleusen von Schadcode in iOS 13 zuverlässig zu ermöglichen, schreibt beispielsweise der Hacker Dino A. Dai Zovi. ZecOps hat inzwischen in Aussicht gestellt, weitere Details veröffentlichen zu wollen.
t
(lbe)
