Wie gefährlich ist Apples E-Mail-App in iOS derzeit?
Im E-Mail Programm von Apple für iOS und iPadOS schlummern möglicherweise Bugs. MacOS ist nicht betroffen.
Foto: Picture Alliance / dpa
So wie es aussieht, klaffen in Apples Mail-App für iPhones und iPads schwere Sicherheitslücken. Die Veröffentlichung eines "heilenden" Updates steht noch aus, wird aber in Kürze erwartet. Was können Nutzer bis dahin tun?
Wie bereits berichtet, haben zwei Sicherheitsforschern Schwachstellen in Apples Mail-App entdeckt. Nun warnt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor diesen Schwachstellen. Als Sofortmaßnahme empfiehlt die Behörde, die Anwendung auf iPhones und iPads komplett zu deinstallieren oder wenigstens die Mail-Synchronisierung auszuschalten. Das BSI schlägt vor, dass Nutzer ihre Mails beispielsweise über den Browser aufrufen könnten, was aber in der Praxis überaus umständlich und lästig sein kann.
Alternative E-Mail-Apps nutzen?
Im E-Mail Programm von Apple für iOS und iPadOS schlummern möglicherweise Bugs. MacOS ist nicht betroffen.
Foto: Picture Alliance / dpa
Als andere Alternative könnten sicherheitsbewusste Anwender vorübergehend E-Mail-Anwendungen von Drittanbietern nutzen. Vorgeschlagen werden die kostenlos nutzbaren Apps wie Spark, Boxer, Newton oder Boomerang, aber auch Anwendungen, welche unter Umständen der eigene E-Mail-Provider (z.B. GMX oder Telekom/T-Online) anbietet.
Problem seit iOS 6.0 ?
Nach Angaben des Sicherheitsunternehmens ZecOps, dessen Mitarbeiter die Schwachstellen entdeckt hatten, befinden sich die Lücken schon jahrelang und bis hin zur aktuellen Version 13.4.1 in Apples mobilem Betriebssystem iOS und werden bereits ausgenutzt.
Angreifer können Mails lesen, ändern und löschen
Ausführlich erläutern die Sicherheitsforscher von ZecOps, wie der E-Mail-Bug in iOS/iPadOS funktionieren könnte.
Screenshot: Henning Gajek / teltarif.de
Die Erkenntnis von ZecOps bestätigt das BSI, offenbar besteht die Lücke seit iOS 6. Warum sie bislang nie gefixt wurde, ist unklar. Nach Ansicht des BSI sei es durch zwei schwerwiegende Sicherheitslücken Angreifern möglich, allein durch das Versenden einer speziell manipulierten E-Mail iPhones oder iPads zu kompromittieren. Potentiell sei so das Mitlesen, Verändern und Löschen von E-Mails möglich. Ob Angreifer darüber hinaus weiteren Schaden auf Apple-Mobilgeräten anrichten könnten, werde noch geprüft.
"intime iOS-Kenner" bezweifeln jedoch, dass sie Lücke alleine ausreicht, um erfolgreich Angriffe auf iPhones oder iPads durchzuführen, berichtet das Portal heise.de
Apple sieht kein unmittelbares Risiko
Apple teilte dazu mit, dem Konzern lägen keine Beweise vor, dass die Sicherheitslücken bereits zum Nachteil von Kunden genutzt wurden. Man sei von Zecops auf drei Schwachstellen hingewiesen worden und habe auf Grundlage der vorliegenden Informationen entschieden, dass sie "kein unmittelbares Risiko für unsere Nutzer darstellen". Apple verwies auch darauf, dass für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden müssten.
Version 13.4.5. bringt eine Lösung
Die Schwachstellen sollen Apple zufolge mit der nächsten Version des mobilen Betriebssystems iOS geschlossen werden. In der aktuell an registrierte Beta-Tester verteilten Beta2-Version von iOS 13.4.5 sind die Sicherheitslücken bereits behoben.
Betatester werden?
Wer diese Beta-Version vorab laden will, muss sich auf der Seite beta.apple.com für den "Public Beta Test" mit seiner Apple-ID anmelden, ein spezielles Zertifikat installieren und bekommt sie dann als Software Update von rund 3 GB Größe. Danach könnte man sich aus dem Beta-Programm wieder abmelden und bekäme weitere Updates erst später, wenn es generell neue Updates gibt. Jedoch können bei Beta-Versionen noch andere bislang unentdeckte Fehler enthalten. Für iOS-Standard-Nutzer endet die Versionsnummer derzeit noch bei 13.4.1 und darin ist das Problem noch enthalten.
Wann die Version 13.4.5 allgemein veröffentlich wird, ist im Moment noch unbekannt. Vorher dürfte bei den Beta-Testern die "Golden Master"-Version ausgeliefert werden. Wir halten Sie auf dem Laufenden.