iPhone & iPad: iOS 13.5 schließt Sicherheitslücke in Mail-App

Das Update ist da! Apple hat die neueste Firmware für seine iOS- und iPadOS-Geräte veröffentlicht. Mit der Aktualisierung auf Version 13.5 wird endlich auch die Sicherheitslücke in der Mail-App der Gerät geschlossen, vor der seit rund einem Monat von mehreren Seiten eindringlich gewarnt wurde. Das bestätigt auch ZecOps in einem neuen Beitrag.

iOS 13.5 und iPadOS 13.5 können auf den unterstützten iPhone- und iPad-Generationen über das Menü "Einstellungen / Allgemein / Softwareupdate" heruntergeladen werden.

Wer seine E-Mails von iCloud in einer alternativen App einrichten und bearbeiten möchte, findet auf pc-magazin.de die passenden IMAP-Servereinstellungen für Apple und mehr.

Update vom 14.05.2020

Sicherheitslücke in Mail-App betrifft alle iOS-Geräte!

Aus einem neuen Blog-Post von ZecOps geht hervor, dass die Sicherheitslücke in der Mail-App von iPhones und iPads bis 2010 zurückreicht - bis zum Release des ersten iPhones (iPhone 2G). Die Lücke ließ sich auf iOS 3.1.3 ausnutzen. ZecOps betont und ist sich sicher, dass Angriffssoftware für das Leck seit ebenjenem Jahr 2010 besteht.

Laut Forbes betrifft das mindestens über 900 Millionen weltweit aktive iPhones. Mindestens, weil weitere iOS-Geräte wahrscheinlich noch irgendwo verstauben und womöglich noch einmal zum Einsatz kommen können. Apple möchte aber weder von seinem initialen Statement (siehe unten) abweichen noch die neuen Funde von ZecOps kommentieren.

Die Lücke wird mit dem Update auf iOS 13.5 geschlossen (ehemals 13.4.5). Das lässt wiederum noch über fünf Wochen auf sich warten. Es gilt somit weiterhin die Empfehlung des BSI, die Mail-App zu löschen oder auf einen alternativen Mail-Client umzusteigen.

Update vom 24.04.2020

Auch BSI warnt vor iOS-Sicherheitslücke

Die iOS-Sicherheitslücke in der Mail-App von iPhones und iPads zieht weitere Kreise. Nach der Firma ZecOps (siehe Originalmeldung) warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik.

Das BSI schätzt die Schwachstelle als sehr schwerwiegend ein. Im Gegensatz zu typischen Attacken via E-Mail reicht es, wenn ein Nutzer eine entsprechend präparierte E-Mail lediglich aufruft. Es bedarf zumindest bei iOS 13 keines zusätzlichen Dateianhangs, den der Nutzer öffnen muss.

• Aktueller Hinweis (06.05.2020): Fast zwei Wochen nach Bekanntwerden der Schwachstelle in Apples Mail-App rückt eine weitere iOS-Sicherheitslücke in den Fokus. Diese soll schon mindestens drei Jahre bestehen.

Das BSI empfiehlt eine Deinstallation der Mail-App oder eine Deaktivierung der Synchronisation von Konto und App. Anschließend sollen Nutzer auf andere Apps für E-Mails umsteigen (siehe Originalmeldung). Wann das gepatchte iOS 13.4.5 veröffentlicht wird, ist noch unbekannt.

iOS ab mindestens (!) Version 6 sei von der Sicherheitslücke in der Mail-App betroffen. Das ist im Herbst 2012 erschienen - zusammen mit dem iPhone 5. Von ZecOps beobachtete Angriffe reichen dabei bis Januar 2018 zurück.

Apple-Statement (Nachtrag um 14:00 Uhr)

In der Zwischenzeit hat Bloomberg-Journalist Mark Gurman ein Apple-Statement veröffentlicht. Demnach gebe es für iPhone- und iPad-Nutzer keine direkte Gefahr. Die Forscher hätten drei Lücken identifiziert, die Apple nach nicht ausreichen, um die Sicherheitsmechanismen der iOS-Geräte zu umgehen. In der Tat sagte ZecOps, dass eine weitere Kernel-Lücke zur vollständigen Übernahme nötig sei.

• Lesetipp: iPhone SE - Über diesen Benchmark können Sie sich freuen oder ärgern

Zudem gebe es laut Apple keine Hinweise auf bereits erfolgte Angriffe. Das widerspricht sich mit den Aussagen der Sicherheitsexperten. Dennoch werde Apple die potenziellen Risiken bald mit einem Software-Update beheben.

Originalmeldung vom 23.04.2020

Sicherheitslücke in Mail-App von iPhone und iPad

Cyberkriminelle können über die vorinstallierte Mail-App von Apples iOS allerlei Schadcode auf iPhones und iPads ausführen, ohne dass der Nutzer etwas davon merkt. Schlagen Angriffe fehl, sind u.a. kryptische Mails mit Darstellungsfehlern in der App vorzufinden - oder Abstürze derselbigen. Die kritische Sicherheitslücke steckt in iOS 13 - inklusive der aktuellen Version iOS 13.4.1.

Unter iOS 12 sollen Angreifer zusätzlich Zugriff auf den Mail-Server benötigen, um die Lücke auszunutzen. Alternativ muss das Opfer mit iOS-12-Gerät zum Öffnen manipulierter Nachrichten gebracht werden. Das entfällt beim aktuellen Update und macht die Lücke daher so gefährlich für iPhone und iPad.

Lesetipp: Top 10 der besten Smartphones

Die Sicherheitsfirma „ZecOps“ warnt, dass bereits Angriffe auf Nutzer von iOS-Geräten wie iPhone und iPad beobachtet worden sind – darunter Geräte in Firmen, von „VIPS“ und sogar bei Sicherheitsdienstleistern. Angreifer erhalten durch die Lücke Zugriff auf die Mail-App. Kommt das Ausnutzen weiterer Lücken dazu, könnte das ganze iOS-Gerät übernommen werden.

Apple wurde vorab informiert und hat die Lücke in der iOS-Beta 13.4.5 geschlossen. Das Update wird aber noch nicht verteilt. ZecOps hat sich vor Veröffentlichung des Updates zur Bekanntgabe der Lücke entschlossen. Während Nutzer auf das iOS-Update warten, sollen sie die Mail-App im Idealfall nicht mehr nutzen. Die Sicherheitsfirma glaubt, dass die Lücke schon seit geraumer Zeit besteht und auch entsprechend lange ausgenutzt wird.

Mail-App auf iPhone und iPad unsicher: Was tun?

ZecOps gibt den Tipp, auf eine alternative App für E-Mails auszuweichen und Apple Mail nicht mehr zu nutzen. Wer kann, installiert die Public Beta von iOS 13.4.5. Für alle anderen bietet es sich an, bei lokalen Postfächern Backups zu erstellen und sie anschließend in einer anderen App zu importieren.

Empfehlenswerte und vertrauenswürdige Apps, die POP3 und IMAP unterstützen, wären unter anderem Google Mail oder Microsoft Outlook. Wie Sie E-Mails von Ihrem Apple-Account mit anderen Apps aufrufen, erklärt Apple auf dieser Webseite mit den passenden Einstellungen für Mail-Server und mehr.