Millionen Geräte betroffen

Mail-App-Sicherheitslücke macht iPhone und Tablet angreifbar

dpa/sda

24.4.2020

Die Schattenwelt hat es auf Apple abgesehen.
Bild: Keystone

Eine Sicherheitsfirma warnt vor einer Schwachstelle im Mail-Programm von Apple-Geräten. Während Apple beschwichtigt, will ZecOps von gezielten Angriffen erfahren haben.

Die E-Mail-App auf Apples iPhones und iPad-Tablets hat Sicherheitslücken, die demnächst mit einer Aktualisierung des Betriebssystems geschlossen werden sollen. Apple hatte am Mittwoch bestätigt, dass es in seiner Software für das Mail-Programm Schwachstellen gibt. Das Problem betrifft mehr als 500 Millionen Geräte weltweit.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Nutzern empfohlen, bis dahin die Synchronisierung der Mails abzuschalten oder sogar die App zu löschen. Durch die Schwachstellen sei «potenziell das Lesen, Verändern und Löschen von E-Mails möglich», warnte die Behörde. Apple verteidigte sich, dem Konzern lägen keine Beweise vor, dass die Sicherheitslücken bereits zum Nachteil von Kunden genutzt wurden.

Gezielte Attacken

Zuvor hatte die amerikanische IT-Sicherheitsfirma ZecOps erklärt, sie habe Hinweise darauf gefunden, dass zwei Schwachstellen in einigen Fällen bereits ausgenutzt worden seien. Es habe sich dabei um sehr gezielte Attacken gehandelt.

Sie hätten allerdings auf den betroffenen Geräten keinen schädlichen Softwarecode mehr entdecken können, sondern nur Indizien dafür, erklärten die Forscher. Die Beschreibung weckte bei einigen anderen Branchenexperten Zweifel daran, ob man bereits von einem Nachweis erfolgreicher Attacken sprechen könne.

So lassen sich gespeicherte Passwörter abrufen

Apple ergänzte, man sei von der Sicherheitsfirma auf drei Schwachstellen hingewiesen worden und habe auf Grundlage der vorliegenden Informationen entschieden, dass sie «kein unmittelbares Risiko für unsere Nutzer darstellen». Apple verwies auch darauf, dass für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden müssten.

Sicherheitslücken werden für Millionen gehandelt

ZecOps konnte dagegen nach eigenen Angaben Hinweise auf mindestens sechs Attacken auf Basis der Sicherheitslücken feststellen. Unter den Zielen der Angriffe seien Manager grosser US-Unternehmen sowie eines japanischen Mobilfunk-Anbieters, ein Journalist in Europa und ein nicht näher genannter «VIP in Deutschland» gewesen.

Anders als bei vielen Angriffen muss der Nutzer den Experten zufolge nicht erst eine Datei im Anhang anklicken. Beim aktuellen Betriebssystem iOS 13 könne die Attacke im Hintergrund ausgeführt werden, beim vorherigen iOS 12 musste der Nutzer dafür die E-Mail öffnen.

Besser tippen mit dem iPhone

«Das BSI schätzt diese Schwachstellen als besonders kritisch ein», erklärte deshalb die deutsche Behörde, die unter anderem die Kommunikation der Bundesregierung absichert. Sicherheitslücken, von denen Apple oder der Android-Entwickler Google noch nichts wissen, stehen bei Online-Kriminellen und Geheimdiensten hoch im Kurs. Sie werden zum Teil für Millionen gehandelt.

Massive Angriffswelle befürchtet

Die Schwachstellen nutzen den Angreifern aber auch nur so lange etwas, wie sie unentdeckt bleiben. Deshalb werden sie normalerweise nur sehr gezielt gegen besonders wertvolle Ziele eingesetzt. ZecOps befürchtet jedoch, dass es in den verbliebenen Tagen bis zum Update eine massive Angriffswelle geben könnte, weil die Schwachstellen nicht mehr geheim sind und danach wertlos werden.

Die wichtigsten Gadgets des Jahrzehnts

ZecOps zufolge würde ein angegriffener Nutzer lediglich merken, dass die E-Mail-App langsamer laufe – und bei missglückten Attacken könne sie abstürzen. Die Sicherheitsfirma habe im Februar erste Hinweise auf die Angriffe bekommen und seitdem in Kontakt mit Apple gestanden. Während sie Schwachstellen seit September 2012 bestanden hätten, reichten bisher entdeckte Angriffsmechanismen bis Januar 2018 zurück.

Apple will die Schwachstellen mit der nächsten Version seines Mobil-Betriebssystems iOS schliessen. Die Mitte April veröffentlichte Vorab-Ausgabe von iOS 13.4.5 enthält bereits den entsprechenden Software-Code. Einen gesicherten Schutz wird es erst geben, wenn das Update für alle Nutzer verfügbar ist.

Bilder des Tages

Zurück zur Startseite