Angreifer können auf E-Mails und Anhänge zugreifen
Schwachstellen in Airmail 3: Sicherheitsforscher warnt vor der Apple-Mail-Alternative [Update]
Die von Apple empfohlene und im vergangenen Jahr mit dem Apple Design Award ausgezeichnete E-Mail-Anwendung Airmail 3 für den Mac weist mehrere schwere Sicherheitslücken auf. Angreifer können teils vom Nutzer unbemerkt E-Mails und E-Mail-Anhänge in ihren Besitz bringen.
Die auf Sicherheitsthemen spezialisierte Webseite Threatpost erläutert die Schwachstellen und hat ein Interview mit deren Entdecker Fabius Watson geführt. Dessen Empfehlung: Man sollte Airmail 3 nicht mehr benutzen, solange die Fehler nicht behoben sind.
Das Problem ist nämlich, dass sich die Schwachstellen aus der Ferne per E-Mails ausnutzen lassen. Einfach erklärt, schickt der Angreifer eine E-Mail und bekommt als Antwort darauf beispielsweise von seinen Opfer verschickte E-Mails oder auch Anhänge frei Haus geliefert. Die Angriffsvariante funktioniere zu 100 Prozent, wenn man den Angeschriebenen dazu veranlasse könne, einen Link in der empfangenen E-Mail zu klicken. In etwa der Hälfte aller Fälle sei es aber auch möglich, den Versand der Informationen alleine durch das Öffnen der bösartigen E-Mail zu veranlassen.
Zusätzliche Gefahr geht dem Sicherheitsforscher zufolge davon aus, dass sich ein Angreifer gezielt Dokumente zusenden lassen könne, wenn er deren Name kenne. Auch hier hätten die Airmail-Entwickler fahrlässig gehandelt, die Art und Weise der Speicherung der E-Mails und Regeln der Namensvergabe würden es ermöglichen, die Dateinamen recht zuverlässig herzuleiten.
Die Airmail-Entwickler seien von dem Umstand in Kenntnis gesetzt auf die Fehler hingewiesen worden, hätten allerdings noch keine fehlerbehebenden Updates bereitgestellt. Die Fehlerberichte beziehen sich aktuell nur auf die Mac-Version von Airmail 3. Es ist unbekannt, ob die iOS-Version der Software auch betroffen ist.
Update: Korrigierte Version ist unterwegs
Die Entwickler haben auf Anfrage von ifun.de mitgeteilt, dass eine korrigierte Version der App bereits bei Apple zum Review eingereicht ist und schnellstmöglich freigegeben wird.