Konzern widerspricht Sicherheitsforschern
Mail-App auf iPhone und iPad: Apple sieht keine Bedrohung
Apple sieht im Zusammenhang mit der aktuell bekanntgewordenen Sicherheitslücke in der Mail-Anwendung für iPhone und iPad keine Gefährdung seiner Nutzer.
In einer an US-Medien ausgegebenen Stellungnahme widerspricht das Unternehmen der Einschätzung von Sicherheitsforschern und damit auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde warnt vor der Benutzung der Mail-App und empfiehlt sogar, die Anwendung vorübergehend zu löschen.
Grafik: ZecOps
In der Apple-Stellungnahme heißt es, dass man grundsätzlich alle Berichte über Sicherheitsbedrohungen ernst nehme und so auch die Berichte von Sicherheitsforschern bezüglich der Mail-App für iPhone und iPad gründlich untersucht habe. Auf Basis der zur Verfügung gestellten Informationen sei man allerdings zu dem Schluss gekommen, dass sich aus dem Fehler keine unmittelbare Gefahr für Nutzer ergebe. Die drei identifizierten Probleme genügten nicht, um die Sicherheitsvorkehrungen der Geräte zu umgehen und man habe auch keine Beweise dafür gefunden, dass die Lücken gegen Kunden eingesetzt würden.
Damit steht die Aussage Apples gegen die der Sicherheitsforscher von ZecOps. Diese behaupten, dass die Lücke aktiv ausgenutzt werde um gezielt ausgewählte Personen auszuspähen, vermutlich im Auftrag von Regierungen und Geheimdiensten.
Apple hat im Zusammenhang mit der Stellungnahme bestätigt, dass die Fehler in Kürze mittels eines Software-Updates behoben werden sollen.
Wenn es nicht gefährlich ist, wieso wird es denn dann mit einem Sicherheits-Update geschlossen. Wenn es nicht gefährlich war warum ist bisher nichts passiert. Von daher sehe ich das mal ganz entspannt. Benutze beschäftigt seit zehn Jahren die App ohne Probleme
Sicherheitsupdate? Davon habe ich nichts gelesen. Da steht lediglich, dass ein (in den Augen Apples ungefährlicher) Fehler behoben werden soll.
„Apple hat im Zusammenhang mit der Stellungnahme bestätigt, dass die Fehler in Kürze mittels eines Software-Updates behoben werden sollen.“
Letzter Absatz.
Ein Software-Update ist noch lange kein Sicherheits-Update.
https://support.apple.com/de-de/guide/security/secf683e0b36/web
Die OS-Softwareupdates welche Sicherheitslücken schliessen sind sehr wohl als Sicherheitsupdates zu betrachten.
Ich glaube 13.4.5 ist das Corona-Update mit der BT Tracking API.
Na ja, jeder wie er’s mag. Ich sehe es genau andersherum. Warum nicht lieber vorbeugen? Müssen wirklich immer zuerst zig tausende Anwender davon betroffen sein, damit ein Sicherheitsrisiko als solches akzeptiert wird? Das ist wie ich finde die falsche Strategie und geht wie eh fast immer genau auf Kosten von uns Anwendern die dann die Foren vollschreiben und darunter leiden.
der Fehler soll ja behoben werden..
Apple sagt ja auch nur dass es anscheinend keine Gefährdung gibt
jetzt muss jeder für sich entscheiden wem er glaubt
Ist es denn ein Sicherheitsrisiko ?
Mich spasst dann eher ein Text der mir Infos gibt
wie ich ein Smartphone dazu bekomme mit Facescanner
die Atemschutzmaske zu umgehen. Toll ist da besonders
wie es bei Android funktioniert.
Wie man FaceID mit Maske benutzt… dazu gab es schon einen eigenen Beitrag
Deswegen begegnen dir deine Nachbarn auch immer lächelnd…
Der ist gut!
Wusste gar nicht das man die Mail App löschen kann. :-)
Doch doch, dass wissen die Sicherheitsforscher ganz genau! ;-)
Mist es geht mittlerweile wirklich!
Oh, dann war ich auch auf einem alten Stand … wollte auch schon fragen wie das gehen soll …
Man kann die Mail App nicht löschen!
Man kann lediglich über die löschen Funktion das Icon vom Homescreen entfernen.
Die „App“ selbst ist Bestandteil von iOS, daher werden die Programmfehler ja auch mit einem iOS Update behoben.
Damit komische Empfehlung der Forscher.
Vielleicht dachte man auch der normale Nutzer weiß dass nicht; wenn wir das so sagen wird er zumindest die App nicht mehr nutzen. Who knows.
Hab die App noch nie benutzt.
Die App kann seit iOS 12 sehr wohl gelöscht werden:
https://support.apple.com/de-de/HT208094
@ChristianS
Laut Support Dokument werden die Apps seit iOS 11 tatsächlich gelöscht. Ich war auch noch auf dem Stand von iOS 10 wo die Apps nur deaktiviert wurden.
Könnten die Provider entsprechende Mails nicht eh filtern und serverseitig blocken?
Das wäre wohl eine Art Henne – Ei – Problem. Damit die Provider entsprechende Mails filtern könnten, müssten sie mehr über den Aufbau der Mails wissen. Und damit würde man ggf. den Weg, wie man die Sicherheitslücke ausnutzt, offen legen. Und das wäre wohl ziemlich kontraproduktiv…
Gruß
Na ja , BSI weiß es auch nur aus der Presse , schreiben sie jedenfals in ihrem Text.
Bei Corona gibt es auch keine unmittelbare Gefahr
Es gibt keine Corona. Lasst euch nicht blenden vom Flimmerkasten und Fake-News.
danke, jetzt bin ich aber beruhigt
Ich befürchte ja, dass das euer Ernst ist. Ist es?
„Es gibt keine Corona….“ Satzbau?
Da könntest Du auch gleich behaupten: „Es gibt keine Idioten“…..
Oh…hier…ein Keks. Haps!
Die genannten Alternativen (google-Mail und Outlook) erzeugen bei mir aber irgendwie auch nicht unbedingt ein besseres Sicherheitsgefühl….
Eine Alternative wäre noch Spark von Readdle.
Du meinst das Spark von readdle das deine Account Passwörter und auch deine Nachrichten auf deren Servern speichert? Klingt irgendwie nicht nach einer guten Idee ehrlich gesagt.
Bei Google gibt es aber nichtmal die Illusion von Sicherheit. Da ist doch hinlänglich bekannt, dass Google alles mitliest.
POSTEO.DE ! Das ist die Alternative.
Diese App kann ich nicht finden.
Ja, tolle App. Installiere ich mir gleich mal… Thema (und Werbe-Zielgruppe) verfehlt!
Mal so ins blaue gedacht,
vielleicht geben Sie es nicht offiziell als Problem (Sicherheitslücke) zu, damit Sie im Zweifelsfall nicht verklagt werden können.
Solange sie sagen das ist harmlos und es wird sich drum gekümmert ist rechtlich vermutlich die bessere Variante…
Nur mal so überlegt
In Mail ist sicherlich eine Schwachstelle da aber wenn sie seit 2012 existiert ist sie nicht so dramatisch wie der BSI es darstellt. Bei Apple wird immer so ein Drama daraus gemacht. Ist wie mit Bayern München. Für mich ist Apple Glaubwürdiger als der BSI.
Wie lange eine Schwachstelle existiert ist eigentlich egal. Problematisch ist, wenn sie bekannt wird und wie in diesem Fall aktiv ausgenutzt wird. Es gibt sicher noch Unmengen an unbekannten Sicherheitslücken. Ich finde die Warnung gut und richtig. Wie sich jeder nun verhält, ist eben jedem selbst überlassen.
Link zur Stellungnahme? Vermisse immer wieder die Quellangaben bei euren Artikeln :(
im FAQ von ZecOps steht sogar:
These bugs alone cannot cause harm to iOS users – since the attackers would require an additional infoleak bug & a kernel bug afterwards for full control over the targeted device.
Ohne weiteren Exploit ist keine komplette Übernahme des Systems möglich, aber innerhalb der Mail App hat der Angreifer in jedem Fall freie Hand. Ebenfalls aus den FAQ:
Q: What does the vulnerability allow:
A: The vulnerability allows to run remote code in the context of MobileMail (iOS 12) or maild (iOS 13). Successful exploitation of this vulnerability would allow the attacker to leak, modify, and delete emails. Additional kernel vulnerability would provide full device access – we suspect that these attackers had another vulnerability. It is currently under investigation.
Es wird immer lustiger ;) : Link dazu in der Antwort (Inhalt: Problem Textbombe in iMessage)
Was ich gestern und heute schrieb zum Apple Mail Bug mit Hinweisen und Tipps: https://www.iphone-ticker.de/seit-jahren-massiv-verwundbar-iphone-mail-app-ist-kompromittiert-156508/#comment-1205195
noch ein Versuch diesmal ohne das Wort H E I S E.
ihr müsst den versprochenen Link manuell eingeben, solange mein Kommentar wie viele mit Links noch nicht freigeschaltet wurde
mögliche Textbombe:
haisePUNKTde slash mac – and – i slash meldung slash Textbombe – kann – iPhones – und – iPads – in – Absturzschleife – schicken – 4709373PUNKThtml, wobei bei haise das a gegen e getauscht werden müssen, bei den Bindestriche die Leerzeichen entfernt, slash gegen „/“ ausgetauscht und PUNKT gegen ein „.“ (ohne Anführungszeichen) getauscht werden müssen.
Gibt es einen regular pattern der auf dem Mailserver den Angriff anfängt?
Würde gerne einen entsprechenden Filter implementieren, hat jemand nähere Infos?
Falls das weiterhilft: Im Blog von ZecOps befindet sich eine Tabelle mit Strings, die in den entsprechenden Mails enthalten sind.
Der Link dorthin ist im vorletzten Absatz des Artikels oben.
Das kommt aber passend.
Zufall?
Wie bekomme ich möglichst viele Nutzer dazu schnell das nächste Update mit der Tracking Schnittstelle zu installieren?
Ganz einfach, mit dem bewährten Mitte der Panik, äh Angst.
Z.B. mit einer Sicherheitslücke, z.B. beim Emailprogramm.
Die können mich mal. An jetzt gibt’s keine Updates mehr.
Wenn du dann vier Apple Geräte Updates bekommst du 50 % Rabatt auf Aluhüte bei Gravis! ;-)
Ich kommuniziere nur noch per Rauchzeichen, ätsch!
Ja ja, ganz furchtbar, was Apple da versucht. Wollen die doch tatsächlich aktiv Regierungen und Firmen daran hindern, dich persönlich zu tracken.
Pfui Teufel, was für ein böses Ansinnen. Abo gekündigt…
Sorry, aber das klingt nicht so als hättest du viel Erfahrung mit Software Entwicklung. Kaum eine etwas komplexere Software ist fehlerfrei. Und sei es manchmal auch nur, dass etwas anders funktioniert, als der Nutzer es sich gedacht hat. Überall wo Daten verarbeitet werden (wie hier Mails abgerufen werden) können Fehler in der Verarbeitung auftreten, an die vorher keiner der Entwickler gedacht hat und die dazu führen dass z.B. Daten als Code interpretiert werden und ausgeführt werden.
Wer nicht gerade paranoid ist und dennoch meint, Fehler würden absichtlich eingebaut, der hat noch nie selbst Software geschrieben. Und wenn man Apple nicht vertraut, dann solltest man wohl besser kein Produkt von Apple nutzen.
Ob eine Sicherheitslücke aktiv ausgenutzt wird oder nur ausgenutzt werden kann, spielt doch überhaupt keine Rolle: wer sich in Gefahr begibt, der kommt darin um!!
Apple hat seine Arroganz gegenüber (zahlenden) Kunden gerade erneut, und erheblich, intensiviert.
P F U I T E U F E L !!!
Wäre ich jetzt Glaskugel-Verschwörungstheoretiker, würde ich sagen, dass Apple aktiv der Regierung auf diesem Wege den Zugang zu den Geräten erlaubt hat. Aber da ich kein Verschwörungstheoretiker bin sage ich : Typische Apple-Arroganz.
Das ist mal wieder typisch Apple
Eine vernünftige Klarstellung aus Ingenieur- und Programmiererkreisen. Gerade wenn ein Hacker von einem anderen Klartext verlangt.
https://www.macmark.de/blog/osx_blog_2020-04-a.php