ifun.de — Apple News seit 2001. 29 404 Artikel

Konzern widerspricht Sicherheitsforschern

Mail-App auf iPhone und iPad: Apple sieht keine Bedrohung

55 Kommentare 55

Apple sieht im Zusammenhang mit der aktuell bekanntgewordenen Sicherheitslücke in der Mail-Anwendung für iPhone und iPad keine Gefährdung seiner Nutzer.

In einer an US-Medien ausgegebenen Stellungnahme widerspricht das Unternehmen der Einschätzung von Sicherheitsforschern und damit auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde warnt vor der Benutzung der Mail-App und empfiehlt sogar, die Anwendung vorübergehend zu löschen.

Apple Mail Ios Sicherheitsluecke Zecops

Grafik: ZecOps

In der Apple-Stellungnahme heißt es, dass man grundsätzlich alle Berichte über Sicherheitsbedrohungen ernst nehme und so auch die Berichte von Sicherheitsforschern bezüglich der Mail-App für iPhone und iPad gründlich untersucht habe. Auf Basis der zur Verfügung gestellten Informationen sei man allerdings zu dem Schluss gekommen, dass sich aus dem Fehler keine unmittelbare Gefahr für Nutzer ergebe. Die drei identifizierten Probleme genügten nicht, um die Sicherheitsvorkehrungen der Geräte zu umgehen und man habe auch keine Beweise dafür gefunden, dass die Lücken gegen Kunden eingesetzt würden.

Damit steht die Aussage Apples gegen die der Sicherheitsforscher von ZecOps. Diese behaupten, dass die Lücke aktiv ausgenutzt werde um gezielt ausgewählte Personen auszuspähen, vermutlich im Auftrag von Regierungen und Geheimdiensten.

Apple hat im Zusammenhang mit der Stellungnahme bestätigt, dass die Fehler in Kürze mittels eines Software-Updates behoben werden sollen.

Unsere Artikel zum Thema:

Freitag, 24. Apr 2020, 13:34 Uhr — Chris
55 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Wenn es nicht gefährlich ist, wieso wird es denn dann mit einem Sicherheits-Update geschlossen. Wenn es nicht gefährlich war warum ist bisher nichts passiert. Von daher sehe ich das mal ganz entspannt. Benutze beschäftigt seit zehn Jahren die App ohne Probleme

    • Sicherheitsupdate? Davon habe ich nichts gelesen. Da steht lediglich, dass ein (in den Augen Apples ungefährlicher) Fehler behoben werden soll.

    • Na ja, jeder wie er’s mag. Ich sehe es genau andersherum. Warum nicht lieber vorbeugen? Müssen wirklich immer zuerst zig tausende Anwender davon betroffen sein, damit ein Sicherheitsrisiko als solches akzeptiert wird? Das ist wie ich finde die falsche Strategie und geht wie eh fast immer genau auf Kosten von uns Anwendern die dann die Foren vollschreiben und darunter leiden.

      • der Fehler soll ja behoben werden..
        Apple sagt ja auch nur dass es anscheinend keine Gefährdung gibt
        jetzt muss jeder für sich entscheiden wem er glaubt

      • Ist es denn ein Sicherheitsrisiko ?
        Mich spasst dann eher ein Text der mir Infos gibt
        wie ich ein Smartphone dazu bekomme mit Facescanner
        die Atemschutzmaske zu umgehen. Toll ist da besonders
        wie es bei Android funktioniert.

      • Wie man FaceID mit Maske benutzt… dazu gab es schon einen eigenen Beitrag

  • Deswegen begegnen dir deine Nachbarn auch immer lächelnd…

  • Wusste gar nicht das man die Mail App löschen kann. :-)

    • Doch doch, dass wissen die Sicherheitsforscher ganz genau! ;-)

      • Mist es geht mittlerweile wirklich!

      • Oh, dann war ich auch auf einem alten Stand … wollte auch schon fragen wie das gehen soll …

      • Man kann die Mail App nicht löschen!
        Man kann lediglich über die löschen Funktion das Icon vom Homescreen entfernen.
        Die „App“ selbst ist Bestandteil von iOS, daher werden die Programmfehler ja auch mit einem iOS Update behoben.
        Damit komische Empfehlung der Forscher.
        Vielleicht dachte man auch der normale Nutzer weiß dass nicht; wenn wir das so sagen wird er zumindest die App nicht mehr nutzen. Who knows.

      • Hab die App noch nie benutzt.

      • @ChristianS
        Laut Support Dokument werden die Apps seit iOS 11 tatsächlich gelöscht. Ich war auch noch auf dem Stand von iOS 10 wo die Apps nur deaktiviert wurden.

  • Könnten die Provider entsprechende Mails nicht eh filtern und serverseitig blocken?

    • Das wäre wohl eine Art Henne – Ei – Problem. Damit die Provider entsprechende Mails filtern könnten, müssten sie mehr über den Aufbau der Mails wissen. Und damit würde man ggf. den Weg, wie man die Sicherheitslücke ausnutzt, offen legen. Und das wäre wohl ziemlich kontraproduktiv…

      Gruß

  • Na ja , BSI weiß es auch nur aus der Presse , schreiben sie jedenfals in ihrem Text.

  • karl der kleine

    Bei Corona gibt es auch keine unmittelbare Gefahr

  • Die genannten Alternativen (google-Mail und Outlook) erzeugen bei mir aber irgendwie auch nicht unbedingt ein besseres Sicherheitsgefühl….

  • Mal so ins blaue gedacht,
    vielleicht geben Sie es nicht offiziell als Problem (Sicherheitslücke) zu, damit Sie im Zweifelsfall nicht verklagt werden können.
    Solange sie sagen das ist harmlos und es wird sich drum gekümmert ist rechtlich vermutlich die bessere Variante…
    Nur mal so überlegt

  • In Mail ist sicherlich eine Schwachstelle da aber wenn sie seit 2012 existiert ist sie nicht so dramatisch wie der BSI es darstellt. Bei Apple wird immer so ein Drama daraus gemacht. Ist wie mit Bayern München. Für mich ist Apple Glaubwürdiger als der BSI.

    • MemoAnMichSelbst

      Wie lange eine Schwachstelle existiert ist eigentlich egal. Problematisch ist, wenn sie bekannt wird und wie in diesem Fall aktiv ausgenutzt wird. Es gibt sicher noch Unmengen an unbekannten Sicherheitslücken. Ich finde die Warnung gut und richtig. Wie sich jeder nun verhält, ist eben jedem selbst überlassen.

  • Link zur Stellungnahme? Vermisse immer wieder die Quellangaben bei euren Artikeln :(

  • im FAQ von ZecOps steht sogar:
    These bugs alone cannot cause harm to iOS users – since the attackers would require an additional infoleak bug & a kernel bug afterwards for full control over the targeted device.

    • Ohne weiteren Exploit ist keine komplette Übernahme des Systems möglich, aber innerhalb der Mail App hat der Angreifer in jedem Fall freie Hand. Ebenfalls aus den FAQ:

      Q: What does the vulnerability allow:

      A: The vulnerability allows to run remote code in the context of MobileMail (iOS 12) or maild (iOS 13). Successful exploitation of this vulnerability would allow the attacker to leak, modify, and delete emails. Additional kernel vulnerability would provide full device access – we suspect that these attackers had another vulnerability. It is currently under investigation.

    • noch ein Versuch diesmal ohne das Wort H E I S E.

      ihr müsst den versprochenen Link manuell eingeben, solange mein Kommentar wie viele mit Links noch nicht freigeschaltet wurde
      mögliche Textbombe:

      haisePUNKTde slash mac – and – i slash meldung slash Textbombe – kann – iPhones – und – iPads – in – Absturzschleife – schicken – 4709373PUNKThtml, wobei bei haise das a gegen e getauscht werden müssen, bei den Bindestriche die Leerzeichen entfernt, slash gegen „/“ ausgetauscht und PUNKT gegen ein „.“ (ohne Anführungszeichen) getauscht werden müssen.

  • Gibt es einen regular pattern der auf dem Mailserver den Angriff anfängt?
    Würde gerne einen entsprechenden Filter implementieren, hat jemand nähere Infos?

    • Falls das weiterhilft: Im Blog von ZecOps befindet sich eine Tabelle mit Strings, die in den entsprechenden Mails enthalten sind.

      Der Link dorthin ist im vorletzten Absatz des Artikels oben.

  • Das kommt aber passend.
    Zufall?
    Wie bekomme ich möglichst viele Nutzer dazu schnell das nächste Update mit der Tracking Schnittstelle zu installieren?
    Ganz einfach, mit dem bewährten Mitte der Panik, äh Angst.
    Z.B. mit einer Sicherheitslücke, z.B. beim Emailprogramm.
    Die können mich mal. An jetzt gibt’s keine Updates mehr.

    • Wenn du dann vier Apple Geräte Updates bekommst du 50 % Rabatt auf Aluhüte bei Gravis! ;-)

    • Ich kommuniziere nur noch per Rauchzeichen, ätsch!

    • Ja ja, ganz furchtbar, was Apple da versucht. Wollen die doch tatsächlich aktiv Regierungen und Firmen daran hindern, dich persönlich zu tracken.
      Pfui Teufel, was für ein böses Ansinnen. Abo gekündigt…

    • Sorry, aber das klingt nicht so als hättest du viel Erfahrung mit Software Entwicklung. Kaum eine etwas komplexere Software ist fehlerfrei. Und sei es manchmal auch nur, dass etwas anders funktioniert, als der Nutzer es sich gedacht hat. Überall wo Daten verarbeitet werden (wie hier Mails abgerufen werden) können Fehler in der Verarbeitung auftreten, an die vorher keiner der Entwickler gedacht hat und die dazu führen dass z.B. Daten als Code interpretiert werden und ausgeführt werden.
      Wer nicht gerade paranoid ist und dennoch meint, Fehler würden absichtlich eingebaut, der hat noch nie selbst Software geschrieben. Und wenn man Apple nicht vertraut, dann solltest man wohl besser kein Produkt von Apple nutzen.

  • Ob eine Sicherheitslücke aktiv ausgenutzt wird oder nur ausgenutzt werden kann, spielt doch überhaupt keine Rolle: wer sich in Gefahr begibt, der kommt darin um!!

    Apple hat seine Arroganz gegenüber (zahlenden) Kunden gerade erneut, und erheblich, intensiviert.

    P F U I T E U F E L !!!

  • Wäre ich jetzt Glaskugel-Verschwörungstheoretiker, würde ich sagen, dass Apple aktiv der Regierung auf diesem Wege den Zugang zu den Geräten erlaubt hat. Aber da ich kein Verschwörungstheoretiker bin sage ich : Typische Apple-Arroganz.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 29404 Artikel in den vergangenen 6978 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2020 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven