Schwachstellen in Airmail 3: Sicherheitsforscher warnt vor der Apple-Mail-Alternative [Update]
Die von Apple empfohlene und im vergangenen Jahr mit dem Apple Design Award ausgezeichnete E-Mail-Anwendung Airmail 3 für den Mac weist mehrere schwere Sicherheitslücken auf. Angreifer können teils vom Nutzer unbemerkt E-Mails und E-Mail-Anhänge in ihren Besitz bringen.
Die auf Sicherheitsthemen spezialisierte Webseite Threatpost erläutert die Schwachstellen und hat ein Interview mit deren Entdecker Fabius Watson geführt. Dessen Empfehlung: Man sollte Airmail 3 nicht mehr benutzen, solange die Fehler nicht behoben sind.
Das Problem ist nämlich, dass sich die Schwachstellen aus der Ferne per E-Mails ausnutzen lassen. Einfach erklärt, schickt der Angreifer eine E-Mail und bekommt als Antwort darauf beispielsweise von seinen Opfer verschickte E-Mails oder auch Anhänge frei Haus geliefert. Die Angriffsvariante funktioniere zu 100 Prozent, wenn man den Angeschriebenen dazu veranlasse könne, einen Link in der empfangenen E-Mail zu klicken. In etwa der Hälfte aller Fälle sei es aber auch möglich, den Versand der Informationen alleine durch das Öffnen der bösartigen E-Mail zu veranlassen.
Zusätzliche Gefahr geht dem Sicherheitsforscher zufolge davon aus, dass sich ein Angreifer gezielt Dokumente zusenden lassen könne, wenn er deren Name kenne. Auch hier hätten die Airmail-Entwickler fahrlässig gehandelt, die Art und Weise der Speicherung der E-Mails und Regeln der Namensvergabe würden es ermöglichen, die Dateinamen recht zuverlässig herzuleiten.
Die Airmail-Entwickler seien von dem Umstand in Kenntnis gesetzt auf die Fehler hingewiesen worden, hätten allerdings noch keine fehlerbehebenden Updates bereitgestellt. Die Fehlerberichte beziehen sich aktuell nur auf die Mac-Version von Airmail 3. Es ist unbekannt, ob die iOS-Version der Software auch betroffen ist.
Update: Korrigierte Version ist unterwegs
Die Entwickler haben auf Anfrage von ifun.de mitgeteilt, dass eine korrigierte Version der App bereits bei Apple zum Review eingereicht ist und schnellstmöglich freigegeben wird.
Gilt das nur für Mac Variante, oder auch für die iOS App?
Die iOS-App scheint zumindest ein Problem mit der Privatssphäre zu haben. Ich habe sie zwar angeschrieben, aber wollen die Seite nicht besuchen und/oder ein paar Tests durchführen, ob der Test der Webseite nicht fehlerhaft ist:
.
https://www.emailprivacytester.com/
(ist natürlich für alle E-Mail-Clients nutzbar – bei Thunderbirds unter macOS, Windows und Linux (Fedora & Ubuntu) zeigt es kein Problem an, sondern nur bei der iOS-App.
@fantastic: könntest du das erläutern?
Was sagt die Seite aus?
Ich hoffe, darüber testen mehr Leute dies Webseite mit der Airmail App. Man muss nur die E-Mail-Adresse angeben. Man erhält eine E-Mail, womit man bestätigen soll, ob man den Test durchführen will. Wenn man bejaht, wird eine Test-E-Mail geschickt. Auf deren Seite werden mehrere mögliche Privatsphärenprobleme aufgelistet, die alle grau sind. Sobald man aber die Test-E-Mail anschaut (ich habe zuvor explizit in Airmail deaktiviert, dass irgendwas aus der Ferne geladen werden können sollte), blinkt plötzlich irgendein Audio-tag oder ähnliches von HTML-Mails auf. Das heißt, alleine durch das anschauen der HTML-E-Mail, wo man zuvor den Fernzugriff deaktiviert hatte, kann die E-Mail an den Server zumindest die Information schicken, dass die E-Mail gelesen wurde. Ob dies ganz korrekt ist, habe ich leider nicht austesten können (selbst so ein Test-System zu programmieren und nachvollziehen, dass dies tatsächlich so ist, aber dieser Audio-tag oder ähnliches blinkt nicht auf, solange man die Test-E-Mail nicht aufgerufen hatte).
Hoffentlich ist damit höchstens die Spionage möglich, ob jemand die E-Mail gelesen hat, aber schlimm genug ist dies. Die Thunderbirds erweisen überhaupt keine Probleme (dort ist per Default schon von vornherein eingestellt, dass es nichts nachladen können soll).
Ich hab bei Airmail auf iOS teilweise die Probleme, dass er 3-4 Wochen alte Mails partout einfach nicht mehr findet. Die sind einfach verschwunden. Habe Sie nicht gelöscht, nur archiviert.
Hat jemand diese Probleme auch?
Ja, schon vor einiger Zeit, hatte Airmail auf Mac und iOS verwendet, kann also nicht sicher sagen, welche der beiden Apps dran Schuld war. Die E-Mails konnte ich auch nicht in einem der zahlreichen [Airmail]-Ordner finden. Das war für mich dann der Grund, auf Airmail grundsätzlich zu verzichten und wieder auf die Standard-Mail-Apps zu gehen. Weniger Komfort, dafür aber verschwinden keine Mails mehr.
Als ich die Archivierenfunktion verwendete, war ich auch zuerst erschrocken, dass die E-Mail plötzlich gewissermaßen verschwunden war. Ich hatte aber die Vermutung, dass die E-Mail irgendwohin verschoben, aber nicht gelöscht wurde. Ich vermutete, dass die E-Mail in einen Archiv-Ordner auf dem Server (im IMAP-Konto) verschoben wurde. Und meine Vermutung bestätigte sich bei mir. Die E-Mail wurde in den Ordner „archive“ verschoben. Problem ist wohl, dass die GUI (graphische Benutzerschnittstelle) etwas Gewöhnungbedürftig ist. Es zeigt wie Googlemail die IMAP-Ordner als Labels an (das ist eine gewisse Unart, dass Googlemail keine Ordner, sondern angeblich nur Labels anzeigt, aber in Wirklichkeit ein seltsamer Mischmasch ist – Labels haben den Vorteil, dass eine E-Mail mehrere Labels haben kann, aber E-Mails nur in einem Ordner sein darf, jedoch ist dies bei IMAP Standard).
Also in der iOS-App müsst ihr lediglich die sogenannten Labels anzeigen lassen (was bei IMAP-Verbindung dort nur IMAP-Ordner auflistet). Dort ist dann „archive“, worin sich die archivierte E-Mail befindet.
Ich empfehle, falls ihr das System praktisch etwas mehr erlernen möchtet, installiert Thunderbird und erstellt dort per IMAP eine Verbindung mit dem E-Mail-Konto. Dann wird IMAP praktisch in der EDV verständlicher. Aber Achtung, manche wie Googlemail verlangen, dass man in den Einstellungen auf der Webseite zuerst IMAP für das Konto aktiviert (eine Unart, da Googlemails API glaube ich ähnlich zu IMAP ist)
@fantastic: Nein, du kannst mir ruhig glauben, dass die E-Mails weg waren. Und da ich auch von den [Airmail]-Ordnern sprach, hätte dir das ein Indiz dafür sein können, dass ich auch ein anderes Programm verwendet habe, sonst hätte ich diese ja nicht sehen können.
@Markus: Also evtl. hatte die Mac-App oder iOS-App einen Fehler oder die Airmail-Entwickler haben die Handhabung mit IMAP geändert. Es sieht aber so aus, dass du den Ordner „archive“ übersehen hast (das kann passieren, dass man etwas übersieht). Du behauptest, ich habe nicht richtig gelesen. Aber in Wirklichkeit hast du nicht richtig gelesen. Ich wiederhole, es gibt einen Ordner „archive“ im IMAP-Konto. Ich habe aber nicht gesagt, dass der Odner „archive“ in diesem „[Airmail]“-Ordner ist. Denn dieser Ordner ist anscheinend ein standardmäßig vorhandener Ordner. Da die Entwickler sicherlich nicht dämlich sind, haben sie den standardmäßigen Ordner für das Archivieren verwendet. Deshalb empfehle ich per IMAP mit Thunderbird auf das E-Mail-Konto zugreift, weil dann offenbar wird, dass dieser „archive“-Ordner nicht durch Airmail erstellt werden muss.
Bei mir sind E-Mails angekommen, welche kurz eingeblendet wurden und unmittelbar danach verschwunden waren, diese waren nicht mehr auffindbar.
Bisher hatte ich noch nicht an das E-Mail-Programm direkt gedacht sondern eher an Probleme beim aussortieren von Spam über den Server
Nun werde ich es mal explizit ausklammern indem ich wieder auf das Standard Mail Programm umschwenke
https://www.ifun.de/schwachstellen-in-airmail-3-sicherheitsforscher-warnt-vor-der-apple-mail-alternative-126242/#comment-496982
Ich bin für Alternativen dankbar. Outlook und Apple Mail mag ich, aber ich brauche einen separaten Client …
Ich nutze MailMate. GUI nix schickes aber mächtige Funktionen (besonders die SMART Mailbox – dynamische Ordner)
Ich finde Canary Mail ganz interessant. Unterstützt auch unter iOS pgp Verschlüsselung.
Ach ne, komisch ist nur das immer irgendein „Forscherteam“ Schwachstellen in einem Programm findet was gut und erfolgreich ist!!Ich liebe Airmail ist um Längen besser als der eigene Haus Client!!!Und wenn es so wäre da hätten die Jungs schon längst selber gewarnt!!Also abwarten und nicht gleich die Pferde scheu machen!#läuft
Tja, der normale Benutzer wie du und ich haben halt das Wissen nicht, um solche Schwachstellen zu finden. Aber wenn du ja als Nichtforscher zu den Erfolgreichen gehören möchtest, teste doch diverse SW auf Fehler und Löcher.
Zum Teil nach den ersten !!: Hat nix mit dem Thema zu tun.
Ein bekannter Spruch: multiple exclamation marks are a sure sign for a diseased mind
@KaPod Ganz übler Fall von kognitiver Dissonanz. Autsch.
So beschissen wie die Mail app programmiert ist nehme ich lieber so was in Kauf (also auf dem Mac)
So, dieses hier von den Machern von AirMail. (Quelle Beta Tester Group auf Slack)
1. Incorrect access control of the airmail:// scheme handler for the “send” command allows remote attackers to send arbitrary emails.
Airmail for Mac registers and uses the airmail:// URL scheme. The “send” command in the URL scheme allows an external application to send arbitrary emails from an active account without authentication.
The handler has no restriction on who can use its functionality. The handler can be invoked using any method that invokes the URL handler such as a hyperlink in an email. The user is not prompted when the handler processes the “send” command which automatically sends an attacker crafted email from the target account.
2. Information disclosure is possible by using the airmail:// scheme handler for the “send” command to exfiltrate arbitrary files.
The “send” command in the airmail:// URL scheme allows an external application to send arbitrary emails from an active account. URL parameters for the “send” command with the “attachment_” prefix designate attachment parameters. If the value of an attachment parameter corresponds to an accessible file path, the file is attached to the outbound message. In addition, relative file paths are acceptable attachment parameter values.
The handler can be invoked using any method that invokes the URL handler such as a hyperlink in an email. The user is not prompted when the handler processes the “send” command which automatically sends an email with designated attachments from the target account to a target address.
Dann steht noch folgendes als Schlusssatz:
Fix:
already sent to the store waiting approval
Wie unter https://www.ifun.de/schwachstellen-in-airmail-3-sicherheitsforscher-warnt-vor-der-apple-mail-alternative-126242/#comment-496856 berichtet, scheint die iOS-App alle durch die Ansicht einer E-Mail (vorher das Laden von Dateien aus der Ferne deaktiviert!) durch ein tag (ich glaube dem Audio-tag – muss es noch einmal testen – hatte es bereits vor mehreren Monaten getestet und dies dem Support gemeldet, aber haben dies anscheinend ignoriert) zumindest Spionage möglich (also Versender kann zumindest erfahren, ob die E-Mail gelesen/angezeigt wurde – evtl. ist mehr mit diesem tag möglich, aber damit habe ich mich nicht näher auseinander gesetzt).
AU WEIA!!!!!!!!!!!! :-<<