Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich davor, die App „Mail“ weiter zu verwenden. Das standardmäßige E-Mail-Programm von Apples mobilem Betriebssystem sei sowohl auf iPhones als auch auf iPads hochgradig für Angriffe von außen gefährdet. Rückwirkend bis iOS 6 sei „Mail“ von gleich zwei schwerwiegenden Sicherheitslücken betroffen.
Apple Mail: Zwei gefährliche Sicherheitslücken
Angreifern sei es durch die Lecks möglich, durch das Senden einer E-Mail das betroffene iPhone oder iPad zu kompromittieren. Die Folge: Theoretisch sei das Lesen, Verändern und Löschen von E-Mails möglich. Derzeit werde geprüft, ob darüber hinaus noch weitere schädliche Angriffe durch Hacker umsetzbar seien. Vorstellbar ist hier nicht nur der Angriff auf allgemeine Systemeinstellungen, sondern auch das Auslesen von Passwörtern. Grundsätzlich sei aber schon jetzt festzuhalten, dass die beiden Sicherheitslücken als sehr kritisch einzustufen seien.
Gefährlich sind die Sicherheitslücken vor allem vor dem Hintergrund, dass es Apple bisher noch nicht gelungen ist, ein Update für die Schwachstellen bereitzustellen. Version 13.4.5 von iOS und iPadOS liegt aktuell lediglich in einer (zweiten) Beta-Version vor, aber noch nicht als finales Update für die breite Masse. Medienberichten zufolge sollen schon E-Mails im Umlauf sein, die die Sicherheitslücke aktiv ausnutzen. Apple entgegnet unterdessen, dass „kein unmittelbares Risiko“ für Nutzer bestehe, schreibt die Nachrichtenagentur Reuters.
Die Möglichkeit zur Ausnutzung der Schwachstellen unterscheidet sich je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen E-Mail ausreicht, um die Schwachstelle auszulösen, müssen Nutzer von iOS 12 eine potenziell schädliche E-Mail aktiv öffnen. Da iOS 13 auf den meisten aktuellen iOS- und iPadOS-Geräten in Verwendung ist, solltest du bei einer „Mail“-Verwendung aktuell entsprechend vorsichtig sein.
BSI rät zur Deinstallation
Das BSI rät bis zur Bereitstellung entsprechender Updates für iPhones und iPads zu einem radikalen Schritt zu greifen: Die App „Mail“ deinstallieren oder alternativ die mit dieser App verknüpften Accounts beziehungsweise die E-Mail-Synchronisierung deaktivieren. „Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung für Sicherheit ihrer Produkte zu schaffen“, mahnt BSI-Präsident Arne Schönbohm.
Entdeckt wurde die Sicherheitslücke in „Mail“ durch die amerikanischen Sicherheitsforscher von ZecOps. Dort war man sich zunächst selbst nicht sicher, ob die Schwachstelle so gravierend sei. Inzwischen sieht die Sachlage wesentlich eindeutiger aus.
