Schon vorgestern haben Sicherheitsforscher schwere Sicherheitsprobleme in der Mail-App für iPhone und iPad aufgedeckt. Inzwischen gibt es auch eine behördliche Warnung dazu: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält die beiden Sicherheitslücken für “besonders kritisch”.
Die Schwachstellen werden schon ausgenutzt
Durch die zwei Bugs sei “potenziell das Lesen, Verändern und Löschen von E-Mails möglich”, informierte die Behörde gestern. Davor hatte die IT-Sicherheitsfirma ZecOps aus den USA erklärt, sie habe Hinweise darauf gefunden, dass die Sicherheitslücken in mehreren Fällen schon ausgenutzt worden seien. Dabei habe es sich um sehr gezielte Angriffe gehandelt. Auf den betroffenen Geräten hätten sie aber keinen Softwarecode der Schadprogramme mehr entdecken können, erläuterten die Forscher.
Apple will die Lücken mit der nächsten Version seines Mobilbetriebssystems iOS schließen. In der Beta von iOS und iPadOS 13.4.5 sind sie schon gestopft. Einen wirksamen Schutz dürfte es erst dann geben, wenn das Update für alle Benutzer verfügbar ist.
Vom BSI kommt die Empfehlung, die Mail-App erst einmal zu löschen, auf Alternative Mailer auszuweichen oder wenigstens die Synchronisation abzuschalten. Wenn Angreifer neben dem Mail-Exploit auch noch über weitere Angriffstechniken verfügen, soll es sogar möglich sein, das Betriebssystem komplett zu übernehmen, warnen die Sicherheitsforscher von ZecOps.
Sechs Attacken gesichtet – auch in Europa
Nach eigenen Angaben konnte ZecOps Hinweise auf sechs Attacken auf Basis der beiden Sicherheitslücken feststellen. Unter den Zielen der Angriffe sollen Manager großer US-Unternehmer und eines japanischen Mobilfunkanbieters und auch ein Journalist in Europa gewesen sein.
Anders als bei den meisten Angriffen muss der Nutzer laut den Experten nicht erst eine Datei im Anfang anklicken, sondern es reicht schon, eine entsprechend präparierte Mail selbst zu öffnen. “Das BSI schätzt diese Schwachstellen als besonders kritisch ein”, erklärte die Behörde deshalb. Solche Sicherheitslücken stehen in der Szene auch hoch im Kurs, weil sie den Angreifern nur solange nutzen, wie sie unentdeckt bleiben. Deshalb setzt man sie in der Regel nur sehr gezielt gegen besonders interessante Ziele ein.
