ifun.de — Apple News seit 2001. 27 285 Artikel
Angreifer können auf E-Mails und Anhänge zugreifen

Schwachstellen in Airmail 3: Sicherheitsforscher warnt vor der Apple-Mail-Alternative [Update]

22 Kommentare 22

Die von Apple empfohlene und im vergangenen Jahr mit dem Apple Design Award ausgezeichnete E-Mail-Anwendung Airmail 3 für den Mac weist mehrere schwere Sicherheitslücken auf. Angreifer können teils vom Nutzer unbemerkt E-Mails und E-Mail-Anhänge in ihren Besitz bringen.

Die auf Sicherheitsthemen spezialisierte Webseite Threatpost erläutert die Schwachstellen und hat ein Interview mit deren Entdecker Fabius Watson geführt. Dessen Empfehlung: Man sollte Airmail 3 nicht mehr benutzen, solange die Fehler nicht behoben sind.

Airmail 3 Mac

Das Problem ist nämlich, dass sich die Schwachstellen aus der Ferne per E-Mails ausnutzen lassen. Einfach erklärt, schickt der Angreifer eine E-Mail und bekommt als Antwort darauf beispielsweise von seinen Opfer verschickte E-Mails oder auch Anhänge frei Haus geliefert. Die Angriffsvariante funktioniere zu 100 Prozent, wenn man den Angeschriebenen dazu veranlasse könne, einen Link in der empfangenen E-Mail zu klicken. In etwa der Hälfte aller Fälle sei es aber auch möglich, den Versand der Informationen alleine durch das Öffnen der bösartigen E-Mail zu veranlassen.

Zusätzliche Gefahr geht dem Sicherheitsforscher zufolge davon aus, dass sich ein Angreifer gezielt Dokumente zusenden lassen könne, wenn er deren Name kenne. Auch hier hätten die Airmail-Entwickler fahrlässig gehandelt, die Art und Weise der Speicherung der E-Mails und Regeln der Namensvergabe würden es ermöglichen, die Dateinamen recht zuverlässig herzuleiten.

Die Airmail-Entwickler seien von dem Umstand in Kenntnis gesetzt auf die Fehler hingewiesen worden, hätten allerdings noch keine fehlerbehebenden Updates bereitgestellt. Die Fehlerberichte beziehen sich aktuell nur auf die Mac-Version von Airmail 3. Es ist unbekannt, ob die iOS-Version der Software auch betroffen ist.

Update: Korrigierte Version ist unterwegs

Die Entwickler haben auf Anfrage von ifun.de mitgeteilt, dass eine korrigierte Version der App bereits bei Apple zum Review eingereicht ist und schnellstmöglich freigegeben wird.

Mittwoch, 22. Aug 2018, 16:02 Uhr — Chris
22 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Gilt das nur für Mac Variante, oder auch für die iOS App?

    • Die iOS-App scheint zumindest ein Problem mit der Privatssphäre zu haben. Ich habe sie zwar angeschrieben, aber wollen die Seite nicht besuchen und/oder ein paar Tests durchführen, ob der Test der Webseite nicht fehlerhaft ist:
      .
      https://www.emailprivacytester.com/

      (ist natürlich für alle E-Mail-Clients nutzbar – bei Thunderbirds unter macOS, Windows und Linux (Fedora & Ubuntu) zeigt es kein Problem an, sondern nur bei der iOS-App.

      • @fantastic: könntest du das erläutern?
        Was sagt die Seite aus?

      • Ich hoffe, darüber testen mehr Leute dies Webseite mit der Airmail App. Man muss nur die E-Mail-Adresse angeben. Man erhält eine E-Mail, womit man bestätigen soll, ob man den Test durchführen will. Wenn man bejaht, wird eine Test-E-Mail geschickt. Auf deren Seite werden mehrere mögliche Privatsphärenprobleme aufgelistet, die alle grau sind. Sobald man aber die Test-E-Mail anschaut (ich habe zuvor explizit in Airmail deaktiviert, dass irgendwas aus der Ferne geladen werden können sollte), blinkt plötzlich irgendein Audio-tag oder ähnliches von HTML-Mails auf. Das heißt, alleine durch das anschauen der HTML-E-Mail, wo man zuvor den Fernzugriff deaktiviert hatte, kann die E-Mail an den Server zumindest die Information schicken, dass die E-Mail gelesen wurde. Ob dies ganz korrekt ist, habe ich leider nicht austesten können (selbst so ein Test-System zu programmieren und nachvollziehen, dass dies tatsächlich so ist, aber dieser Audio-tag oder ähnliches blinkt nicht auf, solange man die Test-E-Mail nicht aufgerufen hatte).

        Hoffentlich ist damit höchstens die Spionage möglich, ob jemand die E-Mail gelesen hat, aber schlimm genug ist dies. Die Thunderbirds erweisen überhaupt keine Probleme (dort ist per Default schon von vornherein eingestellt, dass es nichts nachladen können soll).

  • Ich hab bei Airmail auf iOS teilweise die Probleme, dass er 3-4 Wochen alte Mails partout einfach nicht mehr findet. Die sind einfach verschwunden. Habe Sie nicht gelöscht, nur archiviert.

    Hat jemand diese Probleme auch?

    • Ja, schon vor einiger Zeit, hatte Airmail auf Mac und iOS verwendet, kann also nicht sicher sagen, welche der beiden Apps dran Schuld war. Die E-Mails konnte ich auch nicht in einem der zahlreichen [Airmail]-Ordner finden. Das war für mich dann der Grund, auf Airmail grundsätzlich zu verzichten und wieder auf die Standard-Mail-Apps zu gehen. Weniger Komfort, dafür aber verschwinden keine Mails mehr.

      • Als ich die Archivierenfunktion verwendete, war ich auch zuerst erschrocken, dass die E-Mail plötzlich gewissermaßen verschwunden war. Ich hatte aber die Vermutung, dass die E-Mail irgendwohin verschoben, aber nicht gelöscht wurde. Ich vermutete, dass die E-Mail in einen Archiv-Ordner auf dem Server (im IMAP-Konto) verschoben wurde. Und meine Vermutung bestätigte sich bei mir. Die E-Mail wurde in den Ordner „archive“ verschoben. Problem ist wohl, dass die GUI (graphische Benutzerschnittstelle) etwas Gewöhnungbedürftig ist. Es zeigt wie Googlemail die IMAP-Ordner als Labels an (das ist eine gewisse Unart, dass Googlemail keine Ordner, sondern angeblich nur Labels anzeigt, aber in Wirklichkeit ein seltsamer Mischmasch ist – Labels haben den Vorteil, dass eine E-Mail mehrere Labels haben kann, aber E-Mails nur in einem Ordner sein darf, jedoch ist dies bei IMAP Standard).

        Also in der iOS-App müsst ihr lediglich die sogenannten Labels anzeigen lassen (was bei IMAP-Verbindung dort nur IMAP-Ordner auflistet). Dort ist dann „archive“, worin sich die archivierte E-Mail befindet.

        Ich empfehle, falls ihr das System praktisch etwas mehr erlernen möchtet, installiert Thunderbird und erstellt dort per IMAP eine Verbindung mit dem E-Mail-Konto. Dann wird IMAP praktisch in der EDV verständlicher. Aber Achtung, manche wie Googlemail verlangen, dass man in den Einstellungen auf der Webseite zuerst IMAP für das Konto aktiviert (eine Unart, da Googlemails API glaube ich ähnlich zu IMAP ist)

      • @fantastic: Nein, du kannst mir ruhig glauben, dass die E-Mails weg waren. Und da ich auch von den [Airmail]-Ordnern sprach, hätte dir das ein Indiz dafür sein können, dass ich auch ein anderes Programm verwendet habe, sonst hätte ich diese ja nicht sehen können.

      • @Markus: Also evtl. hatte die Mac-App oder iOS-App einen Fehler oder die Airmail-Entwickler haben die Handhabung mit IMAP geändert. Es sieht aber so aus, dass du den Ordner „archive“ übersehen hast (das kann passieren, dass man etwas übersieht). Du behauptest, ich habe nicht richtig gelesen. Aber in Wirklichkeit hast du nicht richtig gelesen. Ich wiederhole, es gibt einen Ordner „archive“ im IMAP-Konto. Ich habe aber nicht gesagt, dass der Odner „archive“ in diesem „[Airmail]“-Ordner ist. Denn dieser Ordner ist anscheinend ein standardmäßig vorhandener Ordner. Da die Entwickler sicherlich nicht dämlich sind, haben sie den standardmäßigen Ordner für das Archivieren verwendet. Deshalb empfehle ich per IMAP mit Thunderbird auf das E-Mail-Konto zugreift, weil dann offenbar wird, dass dieser „archive“-Ordner nicht durch Airmail erstellt werden muss.

    • Bei mir sind E-Mails angekommen, welche kurz eingeblendet wurden und unmittelbar danach verschwunden waren, diese waren nicht mehr auffindbar.

      Bisher hatte ich noch nicht an das E-Mail-Programm direkt gedacht sondern eher an Probleme beim aussortieren von Spam über den Server

      Nun werde ich es mal explizit ausklammern indem ich wieder auf das Standard Mail Programm umschwenke

  • Ich bin für Alternativen dankbar. Outlook und Apple Mail mag ich, aber ich brauche einen separaten Client …

  • Ich finde Canary Mail ganz interessant. Unterstützt auch unter iOS pgp Verschlüsselung.

  • Ach ne, komisch ist nur das immer irgendein „Forscherteam“ Schwachstellen in einem Programm findet was gut und erfolgreich ist!!Ich liebe Airmail ist um Längen besser als der eigene Haus Client!!!Und wenn es so wäre da hätten die Jungs schon längst selber gewarnt!!Also abwarten und nicht gleich die Pferde scheu machen!#läuft

    • Tja, der normale Benutzer wie du und ich haben halt das Wissen nicht, um solche Schwachstellen zu finden. Aber wenn du ja als Nichtforscher zu den Erfolgreichen gehören möchtest, teste doch diverse SW auf Fehler und Löcher.
      Zum Teil nach den ersten !!: Hat nix mit dem Thema zu tun.

      • Ein bekannter Spruch: multiple exclamation marks are a sure sign for a diseased mind

    • @KaPod Ganz übler Fall von kognitiver Dissonanz. Autsch.

  • So beschissen wie die Mail app programmiert ist nehme ich lieber so was in Kauf (also auf dem Mac)

  • So, dieses hier von den Machern von AirMail. (Quelle Beta Tester Group auf Slack)

    1. Incorrect access control of the airmail:// scheme handler for the “send” command allows remote attackers to send arbitrary emails.

    Airmail for Mac registers and uses the airmail:// URL scheme. The “send” command in the URL scheme allows an external application to send arbitrary emails from an active account without authentication.

    The handler has no restriction on who can use its functionality. The handler can be invoked using any method that invokes the URL handler such as a hyperlink in an email. The user is not prompted when the handler processes the “send” command which automatically sends an attacker crafted email from the target account.

    2. Information disclosure is possible by using the airmail:// scheme handler for the “send” command to exfiltrate arbitrary files.

    The “send” command in the airmail:// URL scheme allows an external application to send arbitrary emails from an active account. URL parameters for the “send” command with the “attachment_” prefix designate attachment parameters. If the value of an attachment parameter corresponds to an accessible file path, the file is attached to the outbound message. In addition, relative file paths are acceptable attachment parameter values.

    The handler can be invoked using any method that invokes the URL handler such as a hyperlink in an email. The user is not prompted when the handler processes the “send” command which automatically sends an email with designated attachments from the target account to a target address.

    Dann steht noch folgendes als Schlusssatz:

    Fix:
    already sent to the store waiting approval

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 27285 Artikel in den vergangenen 6665 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2020 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven