Warnung

Wie gefährlich ist Apples E-Mail-App in iOS derzeit?

Ein vermut­lich uralter Bug in Apples E-Mail Programm für iOS und iPadOS sorgt für Aufre­gung. Soll man den Mail­abruf abschalten oder die App deinstal­lieren. Sind Alter­na­tiven machbar?
Von mit Material von dpa

Im E-Mail Programm von Apple für iOS und iPadOS schlummern möglicherweise Bugs. MacOS ist nicht betroffen. Im E-Mail Programm von Apple für iOS und iPadOS schlummern möglicherweise Bugs. MacOS ist nicht betroffen.
Foto: Picture Alliance / dpa So wie es aussieht, klaffen in Apples Mail-App für iPhones und iPads schwere Sicher­heits­lü­cken. Die Veröf­fent­li­chung eines "heilenden" Updates steht noch aus, wird aber in Kürze erwartet. Was können Nutzer bis dahin tun?

Wie bereits berichtet, haben zwei Sicher­heits­for­schern Schwach­stellen in Apples Mail-App entdeckt. Nun warnt auch das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI) vor diesen Schwach­stellen. Als Sofort­maß­nahme empfiehlt die Behörde, die Anwen­dung auf iPhones und iPads komplett zu deinstal­lieren oder wenigs­tens die Mail-Synchro­ni­sie­rung auszu­schalten. Das BSI schlägt vor, dass Nutzer ihre Mails beispiels­weise über den Browser aufrufen könnten, was aber in der Praxis überaus umständ­lich und lästig sein kann.

Alter­na­tive E-Mail-Apps nutzen?

Im E-Mail Programm von Apple für iOS und iPadOS schlummern möglicherweise Bugs. MacOS ist nicht betroffen. Im E-Mail Programm von Apple für iOS und iPadOS schlummern möglicherweise Bugs. MacOS ist nicht betroffen.
Foto: Picture Alliance / dpa Als andere Alter­na­tive könnten sicher­heits­be­wusste Anwender vorüber­ge­hend E-Mail-Anwen­dungen von Dritt­an­bie­tern nutzen. Vorge­schlagen werden die kostenlos nutz­baren Apps wie Spark, Boxer, Newton oder Boome­rang, aber auch Anwen­dungen, welche unter Umständen der eigene E-Mail-Provider (z.B. GMX oder Telekom/T-Online) anbietet.

Problem seit iOS 6.0 ?

Nach Angaben des Sicher­heits­un­ter­neh­mens ZecOps, dessen Mitar­beiter die Schwach­stellen entdeckt hatten, befinden sich die Lücken schon jahre­lang und bis hin zur aktu­ellen Version 13.4.1 in Apples mobilem Betriebs­system iOS und werden bereits ausge­nutzt.

Angreifer können Mails lesen, ändern und löschen

Ausführlich erläutern die Sicherheitsforscher von ZecOps, wie der E-Mail-Bug in iOS/iPadOS funktionieren könnte. Ausführlich erläutern die Sicherheitsforscher von ZecOps, wie der E-Mail-Bug in iOS/iPadOS funktionieren könnte.
Screenshot: Henning Gajek / teltarif.de Die Erkenntnis von ZecOps bestä­tigt das BSI, offenbar besteht die Lücke seit iOS 6. Warum sie bislang nie gefixt wurde, ist unklar. Nach Ansicht des BSI sei es durch zwei schwer­wie­gende Sicher­heits­lü­cken Angrei­fern möglich, allein durch das Versenden einer speziell mani­pu­lierten E-Mail iPhones oder iPads zu kompro­mit­tieren. Poten­tiell sei so das Mitlesen, Verän­dern und Löschen von E-Mails möglich. Ob Angreifer darüber hinaus weiteren Schaden auf Apple-Mobil­ge­räten anrichten könnten, werde noch geprüft.

"intime iOS-Kenner" bezwei­feln jedoch, dass sie Lücke alleine ausreicht, um erfolg­reich Angriffe auf iPhones oder iPads durch­zu­führen, berichtet das Portal heise.de

Apple sieht kein unmit­tel­bares Risiko

Apple teilte dazu mit, dem Konzern lägen keine Beweise vor, dass die Sicher­heits­lü­cken bereits zum Nach­teil von Kunden genutzt wurden. Man sei von Zecops auf drei Schwach­stellen hinge­wiesen worden und habe auf Grund­lage der vorlie­genden Infor­ma­tionen entschieden, dass sie "kein unmit­tel­bares Risiko für unsere Nutzer darstellen". Apple verwies auch darauf, dass für eine erfolg­reiche Attacke noch zwei weitere Sicher­heits­lü­cken ausge­nutzt werden müssten.

Version 13.4.5. bringt eine Lösung

Die Schwach­stellen sollen Apple zufolge mit der nächsten Version des mobilen Betriebs­sys­tems iOS geschlossen werden. In der aktuell an regis­trierte Beta-Tester verteilten Beta2-Version von iOS 13.4.5 sind die Sicher­heits­lü­cken bereits behoben.

Beta­tester werden?

Wer diese Beta-Version vorab laden will, muss sich auf der Seite beta.apple.com für den "Public Beta Test" mit seiner Apple-ID anmelden, ein spezi­elles Zerti­fikat instal­lieren und bekommt sie dann als Soft­ware Update von rund 3 GB Größe. Danach könnte man sich aus dem Beta-Programm wieder abmelden und bekäme weitere Updates erst später, wenn es gene­rell neue Updates gibt. Jedoch können bei Beta-Versionen noch andere bislang unent­deckte Fehler enthalten. Für iOS-Stan­dard-Nutzer endet die Versi­ons­nummer derzeit noch bei 13.4.1 und darin ist das Problem noch enthalten.

Wann die Version 13.4.5 allge­mein veröf­fent­lich wird, ist im Moment noch unbe­kannt. Vorher dürfte bei den Beta-Testern die "Golden Master"-Version ausge­lie­fert werden. Wir halten Sie auf dem Laufenden.

Mehr zum Thema Apple iOS