iOS: Kritische Sicherheitslücke in Mail-App

[YoshuaThree]

Ich bekomme vielleicht ein Mal im Jahr eine Mail deren Herkunft ich nicht kenne. Alles andere ist legitim. Was ein Aufwand das jetzt wäre den Mail-Client zu wechseln. Und in einer oder zwei Wochen kommt dann das Update. Also das kann ich mir sparen.

Du hast aber schon mitbekommen das es nicht darum geht - ah da ist eine fremde unbekannte Mail - die klicke ich lieber nicht an...

Die Sicherheitslücke ist in dem Sinne sehr kritisch - dass Du gar nichts aktiv machen musst. Deine Apple Mail App synchronisiert im Hintergrund - bekommt die Mail mit Schadcode - im Hintergrund wird der Schadcode ausgeführt - fertig. Dazu musst Du weder unbekannte Mails anklicken - nicht mal musst Du die Mail App öffnen...

Und so wie es aussieht hinterlässt sie Schadcode Email nicht einmal Spuren in den meisten Fällen. Ob Du betroffen bist kannst Du also mit Sicherheit nicht mal sagen...

 

[Jan Gruber]

Ich hab das gestern recht lange recherchiert,... hier mal lose die Eindrücke, die ich hatte: Zecops ist schon in Ordnung. Der Fehler wurde an Apple gemeldet - und jetzt released. Wie das genau lief weiß niemand. Entweder haben sie das gemeinsam entschieden (ich geh davon aus, dass Apple das jetzt irre schnell fixed) damit die ihre Presse kriegen, oder die normalerweise gesetzte Zeit ist abgelaufen oder was auch immer. Den Fehler gibt es lange, Zecops dürfte nicht lange darauf gesessen sein nachdem sie ihn gefunden haben.

macOS ist nicht betroffen. Am schlimmsten ist iOS und offenbar iOS 13. Die Lösung ist wirklich einfach - Mailapp deinstallieren. Und dann, wenn der Patch kommt ggf. wieder installieren. iOS 13.4.1 von gestern schien den Fehler nicht zu beheben. Der Fehler ist eigentlich easy: Schadcode einschleusten (ohne dass der Nutzer was tun muss), Buffer Overflow und dann eigenen Code ausführen. Wofür auch immer. Fairness halber läuft dann immer noch fast alles in Sandbox, also das Gerät ist nicht "ganz offen".

 

[Salud]

Weil die Software eine Andere ist? Die Mail App unter iOS ist ein anderes Programm als die Mail App unter macOS...

Und wenn die Entwickler in der iOS Mail App einen Sicherheitsbug haben - bedeutet das ja nicht - dass der Bug unter macOS in der anderen App auch vorhanden ist...

Beide Apps heißen gleich - sind aber zwei unterschiedlich programmierte Anwendungen...

Antworte richtig oder lass es. Dieses „...“ muss nicht sein.

 

[YoshuaThree]

Antworte richtig oder lass es.

Was ist denn falsch bei der Antwort?

 

[Ducatisti]

Warum nimmt man dann nicht einfach Posteo oder Mailbox.org,gerade für die Leute,die Firma haben und natürlich denen,den Datenschutz wichtig ist.

Aber ega,auf mich hört eh keiner,so wie bei der Corona App,und was kam dabei raus[emoji85][emoji16].

 

[Cohni]

Dass die Lücke kritisch ist, steht außer Frage. Aber ich bin mir bei den jetzt unmittelbar notwendigen oder nicht notwendigen persönlichen Konsequenzen nicht so sicher. Man kann es auch Faulheit nennen.

So irre das klingt, aber ich selber tendiere momentan dazu, gar nichts zu machen. Wenn dieses Problem schon derart lange besteht und mit Sicherheit auch von diversen Diensten ausgenutzt wurde, bleibt eigentlich nur die Frage, ob man sich selber als potentielle Zielperson betrachten kann oder nicht. Ich wüsste nicht, warum jemand bei mir diesen Aufwand treiben sollte. Und selbst wenn, wäre es jetzt wohl zu spät.

 

[Jan Gruber]

Konkret geht es gar nicht so sehr um die App, sondern darum wie der Service im Hintergrund läuft.
iOS 13 hat das Thema stark aufgemacht - warum ist mir nicht ganz klar - und executet viel mehr im Background.
macOS hat ein ganz anderes Konzept von Prozessen und wie Dinge im Hintergrund laufen.

Das zeigt sich ganz gut an dem Punkt dass es den Fehler seit einigen iOS Versionen gibt, so richtig garstig wird er erst mit iOS 13 - eben weil da Hintergrundprozesse anders laufen. Das hab ich auch irgendwie versucht im Artikel auszudrücken

 

[Mitglied 231919]

Was ist denn falsch bei der Antwort?

Die unnötige Beendigung jeden Satzes mit drei Punkten "...". Ist wirklich nicht notwendig.

Zum Thema: Ich persönlich mache garnichts. Die Lücke besteht schon ewig und der Patch kommt bald, außerdem sehe ich mich nicht als Zielgruppe.

 

[Jan Gruber]

Dass die Lücke kritisch ist, steht außer Frage. Aber ich bin mir bei den jetzt unmittelbar notwendigen oder nicht notwendigen persönlichen Konsequenzen nicht so sicher. Man kann es auch Faulheit nennen.

Sicherheit ist ja immer eine Abwägung von Aufwand zu Sicherheitsgewinn und durchaus persönlich. Ebenso hängt es nicht nur mit der eigenen RIskioeinschätzung sondern auch den eigenen "Verlustpotentialen" ab. Im Zweifel würd ich sagen: Überlegt euch mal, ob ihr die Summe die in eurer Datenschutzvereinbarung in eurem Dienstvertrag steht, zahlen könnt ;p

 

[YoshuaThree]

Antworte richtig oder lass es. Dieses „...“ muss nicht sein.

Ist OT aber interessiert mich schon. In 99% meiner Antworten hier bei Apfeltalk findest Du ein „...“ - was implizierst Du damit?

Ich nämlich gar nichts...

So wie die „...“ eben auch. Ist für mich nur ein Füller ohne irgendwelcher Bedeutung. Was unterstellst Du mir da also?

 

[Cohni]

Überlegt euch mal, ob ihr die Summe die in eurer Datenschutzvereinbarung in eurem Dienstvertrag steht, zahlen könnt ;p

Dienstlich ist eine ganz andere Hausnummer, klar. Meine Gedanken gehen ausschließlich in die persönliche Richtung, weil die Arbeitssysteme ohnehin nicht von dem Apple-Problem betroffen sind. Also nicht von diesem hier, die haben ganz andere Baustellen...

 

[ullistein]

Das liest sich in den Datenschutzbestimmungen von Microsoft aber etwas anders:


Quelle: https://privacy.microsoft.com/de-DE/privacystatement / Abschnitt Outlook

Wie hier bereits geschrieben wurde: sobald man Push anbietet / nutzen will, müssen zumindest die Login-Daten (bzw. ein Token) auf externen Server gespeichert werden.

Gruß

Ah, jetzt weiß ich, was mich bei Outlook immer gestört hat.

Hm, schwierige Entscheidung, ob ich das inkauf nehmen will.

 

[YoshuaThree]

Weiß man denn wann iOS 13.4.5 öffentlich online kommt? Überlege mir die Mail Konten einfach vorübergehend zu deaktivieren. Ich habe ebenso wenig Lust jetzt da eine zweite Mail App zu konfigurieren...

(Oh Götter ... wieder diese „...“ - mea culpa!)

 

[hotrs]

Ich habe ebenso wenig Lust jetzt da eine zweite Mail App zu konfigurieren.

Vor allem: welche soll man nehmen, wenn die Daten und Nachrichten eben NICHT über externe Server gehen sollen? Outlook und Spark scheiden in dieser Richtung schonmal aus. Wenn ich die Beschreibung von AirMail richtig verstanden habe, werden unter Verzicht von Push keine Daten mit externen Servern ausgetauscht (wobei verschiedene Analysebibliotheken zum Einsatz kommen). Ansonsten hab ich auf die Schnelle noch Unibox und Canary Mail gefunden - aber ohne Studium der Datenschutzbestimmungen der jeweiligen App kommt man da nicht weit...

Gruß

 

[Plumpsklo]

Unabhängig von dieser Lücke gehört die Mail App einfach komplett redesigned... Die ist optisch und in puncto Features die schlimmste App im Apple Kosmos - zumindest in meinen Augen.

Bei der Darstellung einer langen Konversation mit mehreren Partnern... Das kann sogar Samsung besser und wenn Samsung etwas besser kann, dann müssen die Alarmglocken klingeln.

Wenn bei Microsoft was auf Servern landet, dann habe ich da absolut nichts dagegen. Anders sieht es bei Spark aus. Ich weiß einfach nicht, ob ich einer kleineren Firma beim Thema Sicherheit vertrauen kann. Es ist einfach zu wenig Geld im Spiel.

 

[Salud]

Ist OT aber interessiert mich schon. In 99% meiner Antworten hier bei Apfeltalk findest Du ein „...“ - was implizierst Du damit?

Ich nämlich gar nichts...

So wie die „...“ eben auch. Ist für mich nur ein Füller ohne irgendwelcher Bedeutung. Was unterstellst Du mir da also?

Sender Empfänger sagt dir bestimmt was. Diese mehreren Punkte haben auf mich den Eindruck eigentlich wäre alles klar, warum fragst du aber ich antworte mal gelangweilt.

 

[MichaNbg]

Vor allem: welche soll man nehmen, wenn die Daten und Nachrichten eben NICHT über externe Server gehen sollen? Outlook und Spark scheiden in dieser Richtung schonmal aus. Wenn ich die Beschreibung von AirMail richtig verstanden habe, werden unter Verzicht von Push keine Daten mit externen Servern ausgetauscht (wobei verschiedene Analysebibliotheken zum Einsatz kommen). Ansonsten hab ich auf die Schnelle noch Unibox und Canary Mail gefunden - aber ohne Studium der Datenschutzbestimmungen der jeweiligen App kommt man da nicht weit...

Gruß

Das ist halt der Punkt. Wenn du auf Push, Notifications, usw. verzichten kannst, dann landen auch keine Daten auf Servern. Möchtest du das haben, müssen die Anbieter diese Daten in ihren Diensten verarbeiten. Auch Apple.

Ich habe aktuell das Problem wenn ich auf dem iPad Outlook öffne dann wird das iPhone abgemeldet und umgekehrt. Mac und ein iOS Gerät kaufen parallel, das klappt.

Nutzt du evtl. das gleiche App-Kennwort für beide Geräte? Da weiß ich nicht, ob das so bei Apple funktioniert. Eigentlich sollten das Einmalkennwörter für einzelne Dienste/Anwendungen se

Die Zeiten der vermeintlichen Unverwundbarkeit von Apples Software sind lange vorbei bzw. was viel eher zutreffen dürfte, es gab sie nie.

this. Aber dieser Gedanke hat sich, dank entsprechender Wiederholung und Marketing durch Apple, leider in den Köpfen der Fans durchgesetzt. Da setzt dann oft das rationale Denken aus, wie man auch an Nachrichten zu EDR Systemen die für macOS oder iOS veröffentlicht werden in den Kommentaren sieht.

 

[Salud]

Nutzt du evtl. das gleiche App-Kennwort für beide Geräte? Da weiß ich nicht, ob das so bei Apple funktioniert. Eigentlich sollten das Einmalkennwörter für einzelne Dienste/Anwendungen se

Habe über den Generator auf der Appleseite Passwörter für jedes Gerät generieren lassen.

 

[Sequoia]

this. Aber dieser Gedanke hat sich, dank entsprechender Wiederholung und Marketing durch Apple, leider in den Köpfen der Fans durchgesetzt. Da setzt dann oft das rationale Denken aus, wie man auch an Nachrichten zu EDR Systemen die für macOS oder iOS veröffentlicht werden in den Kommentaren sieht.

Ich glaube, das ist eine falsche Einschätzung. Ich denke, dass die meisten User sich bewusst sind, dass es weder die absolute Sicherheit vom System her gibt, noch dass der Datenschutz absolut und korrekt behandelt wird.
Der Unterschied ist, dass Apple das bestmögliche unternimmt, um Datenschutz und Sicherheit zu gewährleisten. Ich denke, dass Dies den meisten Benutzern auch so bewusst ist.
Jetzt gibt es ein Statement seitens Apple:

Apple beschwichtigt: Kritische Mail-Sicherheitslücke angeblich nicht gefährlich

Apple hat Stellung zu den Berichten genommen, wonach sich iOS und iPadOS mit präparierten E-Mails kapern lassen. Anders als die Sicherheitsspezialisten, welche den Bug meldeten, geht Apple von keiner Gefährdung der Nutzer aus.

www.mactechnews.de

 

[double_d]

So wie ich das verstanden habe, besteht diese Sicherheitslücke schon seit der Einführung vom iPhone 5 und seinem iOS.
Hat vielleicht in dem Thread hier schon jemand erwähnt, dann ist es jetzt doppelt. Ich habe also mit der Lücke jetzt schon ein halbes Jahrzehnt gelebt, ohne sie zu kennen oder überhaupt wahrzunehmen.
Sorgen hat mir das bisher nicht bereitet. Unangenehm wird es erst jetzt, da überall davon berichtet wird. Lieber wäre mir gewesen, man hätte das in einem Update einfach still gefixt, als jetzt unnötige Panik zu schüren.