iOS: Kritische Sicherheitslücke in Mail-App

[Jan Gruber]

So wie ich das verstanden habe, besteht diese Sicherheitslücke schon seit der Einführung vom iPhone 5 und seinem iOS.
Hat vielleicht in dem Thread hier schon jemand erwähnt, dann ist es jetzt doppelt. Ich habe also mit der Lücke jetzt schon ein halbes Jahrzehnt gelebt, ohne sie zu kennen oder überhaupt wahrzunehmen.
Sorgen hat mir das bisher nicht bereitet. Unangenehm wird es erst jetzt, da überall davon berichtet wird. Lieber wäre mir gewesen, man hätte das in einem Update einfach still gefixt, als jetzt unnötige Panik zu schüren.

Ich finde das etwas verkürzt. Per Definition gibt es Zero-Days immer lange - dem Namen nach seit Tag 0.
Relevant sind zwei andere Dinge: Seit wann ist sie schädlichen Kräften bekannt und wird ausgenutzt? Und wie leicht kann sie ausgenutzt werden?

Hinweise, dass sie Hackern bekannt ist gibts seit etwa 18 Monaten. Seit September kann sie SEHR EINFACH ausgenutzt werden, davor nicht. Und seit vorgestern ist sie Allgemein bekannt und kann jetzt auch "großflächig" genutzt werden.

Insofern meine persönliche Einschätzung (und am Ende muss das jeder für sich entscheiden): Seit vorgestern würd ich auf jeden Fall die Mailapp vom Gerät werfen

 

[MichaNbg]

Der Unterschied ist, dass Apple das bestmögliche unternimmt, um Datenschutz und Sicherheit zu gewährleisten.

Das ist eine gewagte Aussage in ihrer Absolutheit und kann von uns so weder bestätigt noch widerlegt werden. Das ist eher Wunsch des Kunden/Fans der auf Aussagen und Marketing beruht.

Würde man es umformulieren in "unseres Wissens nach bemüht sich Apple um höheren Datenschutz und Sicherheit" würde ich mitgehen, da man dies zumindest in Relation zur Konkurrenz setzen kann.

 

[doc_holleday]

...weil das für Apple ein Verkaufsargument ist.

 

[YoshuaThree]

Sender Empfänger sagt dir bestimmt was. Diese mehreren Punkte haben auf mich den Eindruck eigentlich wäre alles klar, warum fragst du aber ich antworte mal gelangweilt.

Bestimmte Zeichen, bedeuten bestimmte Gesten... wofür ein oder ein steht - ist soweit klar.
Dass es aber eine Geste für "..." gibt offiziell - ist mir nicht bekannt.

Sprich - es ist einfach Deine Interpretation. Da kann ich aber nichts für.
Ich setze die "..." völlig wertfrei in so ziemlich alle Texte meiner Kommentare hier ein - sollte Dir als Moderator auffallen.

Wenn Du "..." mit Langeweile interpretierst - kann ich wirklich nichts dafür.

OT Ende.

Vor allem: welche soll man nehmen, wenn die Daten und Nachrichten eben NICHT über externe Server gehen sollen? Outlook und Spark scheiden in dieser Richtung schonmal aus. Wenn ich die Beschreibung von AirMail richtig verstanden habe, werden unter Verzicht von Push keine Daten mit externen Servern ausgetauscht (wobei verschiedene Analysebibliotheken zum Einsatz kommen). Ansonsten hab ich auf die Schnelle noch Unibox und Canary Mail gefunden - aber ohne Studium der Datenschutzbestimmungen der jeweiligen App kommt man da nicht weit...

This! So geht es mir eben auch. Ich meine - ich verwende u.a. auch iOS - weil ich (naiv?) eben Apple schon abnehme, dass man es mit Datenschutz einigermaßen (gegenüber Anderen) ernst nimmt. Und da habe ich jetzt keine Lust meine Account Daten und EMail Inhalte über eine App irgendeiner Firma laufen zu lassen.

Bei Spark, Airmail und Co sind mir die Firmen einfach zu unbekannt und zu klein - und bei Microsoft Outlook weiß ich von der Server Problematik. Daher - keine Lust....

Ist aber bei mir selbst beruflich jetzt nicht so - dass ich stundenlang vom Rechner weg bin und andauernd wichtige Mails in der Zeit empfangen würde. Ist es nicht sogar Teil einer Zeitmanagement Strategie, dass man gezielt eh nur 1-2x an festen Zeiten am Tag seine Emails bearbeiten sollte?

Ich werde wohl nur meine Accounts vorläufig den Sync ausschalten.

 

[Plumpsklo]

Hat Apple nicht das Argument "Sicherheitsrisiko" angeführt, wenn man Dritt-Apps als Standard Apps zulassen würde.... Mail muss dann wohl so eine Drittanbieter-App sein.

 

[Cohni]

Der Unterschied ist, dass Apple das bestmögliche unternimmt, um Datenschutz und Sicherheit zu gewährleisten...

Schön wäre es und vielleicht tun sie auch wirklich mehr. Dennoch bleiben eben Softwarelücken, die es überall gibt, aber die aufgrund der letzten erfolgreichen Jahre bei Apple in deren Systemen möglicherweise gravierender sind, als in den anderen Systemen.

Ich selber habe keine Ahnung davon, das gebe ich gerne zu. Allerdings habe ich ab und an mit Menschen zu tun, die sich mit diesen Sachen wirklich auskennen und welche auf Penetrationstest (möglicherweise ähnlich wie ZeCop) usw. spezialisiert sind. Darunter sind auch Liebhaber des angebissenen Apfels. Einhellige Meinung dieser Menschen ist allerdings, trotz Apfel-Liebe, dass die Sicherheit von MacOS und iOS eher als anfälliger als die der anderen Systeme angesehen werden kann. Rein technisch. Das hört man nicht gerne. Aber es gibt eine einfache Erklärung.

Die gefühlte höhere Sicherheit ergibt sich einfach aus der geringeren Angriffslast auf Apples Systeme. Reine Statistik und Frage der Verteilung. Für einen Kriminellen ist die Welt voller Androiden und Windows PC. Es gibt genug zum abräumen und es lohnt sich nicht, Mühe in die Apple-Kunden zu stecken. Ausnahmen bestätigen die Regel.
Ein ständiger Wettbewerb zur Aufdeckung von Lücken. Apple kann das gar nicht selber leisten, zu komplex sind die Systeme. Wenn also mehr Kriminelle da draußen sind, die ein System angreifen, desto sicherer wird es mit der Zeit.

Wenn aber keiner angreift, bleibt eine Lücke unentdeckt. Ganz einfach eigentlich. Apple kann das gar nicht leisten.

Was wir hier bei Apple meistens erleben dürfen sind ja oft Lücken, die nicht für Massenangriffe mit "normalen" kriminellen Hintergrund genutzt werden, sondern eher für staatliche Spionage, Wirtschaftsspionage...also ganz gezielte Angriffe auf einzelne Personen oder bestimmte Personengruppen bezogen sind.

Je nach eigener Lebenssituation ist dies tatsächlich auch ein kleiner Pseudo-Sicherheitsvorteil. Wenn man kein potentielles Ziel ist, wird man nicht angegriffen.

 

[YoshuaThree]

Reine Statistik und Frage der Verteilung. Für einen Kriminellen ist die Welt voller Androiden und Windows PC. Es gibt genug zum abräumen und es lohnt sich nicht, Mühe in die Apple-Kunden zu stecken. Ausnahmen bestätigen die Regel.

Na ja - man kann da nicht einfach einen Exploid machen der für Android und Windows gleichzeitig funktioniert - man muss die Systeme schon getrennt sehen.

Bei Windows versus macOS magst Du da recht haben.

Bei Android versus iOS aber bei einer (Welt) Verteilung von 70% zu 30% jedoch nicht so eindeutig. Da spielen Apples mobile Devices schon eine größere Rolle. Vor allem - wenn man sich dann überlegt - in welchen Kontinenten /Staaten ist welche Verteilung?!

Was nutzt mir der hohe Android Anteil auf einem Kontinent wie Afrika? Wo die Mehrzahl der Android Nutzer einfach zu arm sind um diese dann gewinnbringend zu schädigen?

In Nordamerika hast Du eine 50% / 50% Verteilung - da schaut die Sache für die Hacker doch schon mal ganz anders aus.

 

[Cohni]

Na ja - man kann da nicht einfach einen Exploid machen der für Android und Windows gleichzeitig funktioniert - man muss die Systeme schon getrennt sehen.

Ja klar, natürlich muss man die Systeme unterschiedlich sehen.

Der Kriminelle geht den möglichst einfachen Weg. Dazu kommt bei Android, dass noch viele Millionen Geräte im Umlauf sind, die veraltete Software am laufen haben. Das ist sicherlich auch noch ein Vorteil von iOS.

Also was mache ich als Krimineller, der auf Massen (Phishing und der ganze Kram) angewiesen ist? Ich gehe dahin, wo die Chance am größten ist, schnell erfolgreich zu sein. Es gibt nicht unendlich viele Kriminelle, sodass sich daraus auch eine gewisse Verteilung auf die möglichst einfach anzugreifende Masse ergibt. Was soll ich mich mit iOS abgeben, wenn es genügend andere Opfer gibt?

Nur weil ein System nicht angegriffen wird, heißt das noch lange nicht, dass es sicherer ist, rein technisch gesehen.
Das wollte ich eigentlich nur damit ausdrücken.

 

[YoshuaThree]

Also was mache ich als Krimineller, der auf Massen (Phishing und der ganze Kram) angewiesen ist? Ich gehe dahin, wo die Chance am größten ist, schnell erfolgreich zu sein.

Eben - und in den Kontinenten / Ländern in denen es sich von der Bevölkerung her lohnt - greift man an. Und in diesen westlichen Ländern ist Android und iOS eben 50/50 verteilt - daher zieht Dein Argument nicht, dass iOS nicht weit genug verbreitet ist.

Ein 90% Android Anteil in Afrika, Pakistan oder Bangladesh nutzt mir nichts.

 

[Cohni]

Aber Kriminelle sind doch weltweit tätig, gerade online. Sollten wir dann nicht die Gesamtlage weltweit betrachten?

In Berlin-Prenzlauer Berg ist Apple bestimmt auch verbreiteter als in Berlin-Marzahn. Wenn ich aber Berlin gesamt betrachte, ziehe ich alle Stadtbezirke mit ein.

Ein 90% Android Anteil in Afrika, Pakistan oder Bangladesh nutzt mir nichts.

Oh doch...von den 90% sind mindestens 10% trotzdem so reich, dass ich sie abziehen kann. Ein armes Land hat auch reiche Leute. Die 10% sind natürlich ausgedacht, keine Ahnung.

 

[Hollex]

Nur weil ein System nicht angegriffen wird, heißt das noch lange nicht, dass es sicherer ist, rein technisch gesehen.
Das wollte ich eigentlich nur damit ausdrücken.

Genauso sehe ich die Sache auch. Und deshalb im Umkehrschluss, wird Android mehr angegriffen und dadurch auch immer mehr gehärtet. Immer mehr Meldungen bestätigen genau das.
https://www.teltarif.de/verschluesselung-handy-ios-android-datensicherheit/news/79511.html

 

[YoshuaThree]

Aber Kriminelle sind doch weltweit tätig, gerade online. Sollten wir dann nicht die Gesamtlage weltweit betrachten?

Nein - Kriminelle schicken keine Phishing Mails an Kleinanzeigen Verkäufer in Pakistan - Betrüger welche an das Geld von Frauen kommen wollen, weil sie ihnen die Liebe vorspielen - versuchen auch keine Frauen aus Nepal zu ködern - sondern dumme weiße reiche Frauen...

Wenn Du wirklich denkst - Cyberkriminelle wären leicht beschränkte Typen, welche einen Exploit entwerfen und dann auf den einen Knopf drücken und einfach auf gut Glück in die Welt schicken - wird schon was passieren - dann liegst aber ziemlich falsch.

Die Mädels und Jungs sind gut organisiert und wissen genau, für welche Zielgruppen welche Angriffe zu laufen haben.

 

[MichaNbg]

Für einen Kriminellen ist die Welt voller Androiden und Windows PC. Es gibt genug zum abräumen und es lohnt sich nicht, Mühe in die Apple-Kunden zu stecken. Ausnahmen bestätigen die Regel.

Das wäre vielleicht Apples Traum. Oder so war es vielleicht noch in den 2000ern. Wir haben aber 2020.

Letztes Jahr waren aber 0d-Exploits für Androiden zum Teil teurer zu erweben als iOS Lücken. Für ne FCP Zero Click auf Android wird immer noch mehr aufgerufen als für iOS.
Ja, dafür gibt es einen Markt. Sowohl von Sicherheitsforschern als auch von wirklich bösen Buben.

Bei macOS und Windows sieht es nicht viel anders aus. Sandbox Escapes oder Local Priviledge Escalations für macOS gibt es zum Teil deutlich günstiger als für Windows.

 

[Cohni]

...Wenn Du wirklich denkst - Cyberkriminelle wären leicht beschränkte Typen, welche einen Exploit entwerfen und dann auf den einen Knopf drücken und einfach auf gut Glück in die Welt schicken - wird schon was passieren - dann liegst aber ziemlich falsch.

Die Mädels und Jungs sind gut organisiert und wissen genau, für welche Zielgruppen welche Angriffe zu laufen haben.

Ich glaube fast, wir schreiben aneinander vorbei und meinen das Gleiche.

Nein, sie sind nicht leicht beschränkt...mit Ausnahmen vielleicht und ja, sie sind hoch professionell.
Und dadurch hocheffizient.

Das wäre vielleicht Apples Traum. Oder so war es vielleicht noch in den 2000ern. Wir haben aber 2020...

Volle Zustimmung, ich beschrub wohl eher die Vergangenheit, was aber zu dem heute oft falschen Sicherheitsgefühl beiträgt.

Durch Apples Erfolg werden sie natürlich attraktiver für Angreifer.

 

[Jan Gruber]

Letztes Jahr waren aber 0d-Exploits für Androiden zum Teil teurer zu erweben als iOS Lücken. Für ne FCP Zero Click auf Android wird immer noch mehr aufgerufen als für iOS.
Ja, dafür gibt es einen Markt. Sowohl von Sicherheitsforschern als auch von wirklich bösen Buben.

Glaub was die Preise für Sicherheitslücken betrifft gibt es da aber ganz unterschiedliche Abwägungen. Eben Masse vs Klasse. Wenn du Masse erwischen willst, brauchst Du nach wie vor nen Exploit für Android. Klasse (hochwertige Ziele) erwischte mitunter eher bei iOS, darum sind die Exploits da auch teuer ,... Das iOS sicherer ist als Android, und Android weiter verbreitet ist, ist keine Mähre von vor 10 Jahren. Braucht man sich ja nur Marktanteile auf der einen Seite, und wie lang es dauert bis die Geräte bei ner Pwn2Own oder so aufgemacht werden auf der anderen Seite, anschauen. Allein die Secure Enclave ist schon noch ein großer Sicherheitsvorteil von Apple - was wir ja immer wieder auch seitens der Behörden indirekt bestätigt bekommen. Was nicht heißt das es irgendwo volle Sicherheit gibt =)

 

[Mitglied 105235]

Eben - und in den Kontinenten / Ländern in denen es sich von der Bevölkerung her lohnt - greift man an. Und in diesen westlichen Ländern ist Android und iOS eben 50/50 verteilt - daher zieht Dein Argument nicht, dass iOS nicht weit genug verbreitet ist.

In den USA da kann es bei 50/50. In Deutschland glaube ich das aber nicht, auch bei den andern Europäischen Ländern würde ich das in Frage stellen.

 

[Jan Gruber]

Nur mal so ,...

IDC - Smartphone Market Insights - Home

Detailed market size and share trends empower companies selling Mobile Phones to get ahead of market changes and compete more effectively. Sign up!

www.idc.com

Und bevor jetzt wer möglicherweise die “relevante Märkte“ Diskussion beginnt ,...

Mobile Betriebssysteme - Internetnutzung 2024 | Statista

Was ist das führende Betriebssystem bei der mobilen Internetnutzung mit Smartphones? In Deutschland dominieren Android und Apples Betriebssystem iOS.

de.statista.com

 

[YoshuaThree]

Quelle? In den USA und Kanada ist zwar das iPhone mehr deutlich vertreten aber ich glaube glaube in Mexiko (was auch noch zu Nordamerika gehört) schaut es ganz anders aus.

Laut Trump gehört Mexiko nicht zu Nordamerika

In den USA da kann es bei 50/50. In Deutschland glaube ich das aber nicht, auch bei den andern Europäischen Ländern würde ich das in Frage stellen.

Nein Deutschland sind es auch anscheinend um die 70/30 ....

Du findest alle Statistiken der Verteilung hier:
https://de.statista.com/statistik/d...len-betriebssysteme-in-deutschland-seit-2009/

Aber wie gesagt - ist auch immer die Frage - was lohnt sich. Die reine Verteilung an lohnenden Opfern spielt eine wichtige Rolle. In welchen Ländern ist die Android/iOS Verteilung wie gerichtet. Und dann auch die Benutzergruppen selber. Was nützt Dir die 90% Android Verteilung bei der Gruppe der 14 bis 16 jährigen.

Ist einfach so - iOS Anwender sind in der Regel etwas älter und lohnender als Opfer - als das Gro der Android Benutzer. Das soll jetzt aber keine menschliche Wertung oder Abwertung sein. Es ist einfach so - dass wahrscheinlich ein Ferrari Fahrer ein (finanziell) lohnenswerteres Opfer ist, als ein Polo Fahrer. Aber keine Regel ohne Aufnahme - es gibt finanziell gut gestellte Polo Fahrer ebenso wie Ferrari Fahrre, die kurz vor der Pleite stehen. Aber ich denke, Du weißt auf was ich heraus will...

Dass da iPhone sich nicht wegen seiner scheinbar absolut gesehenen "geringen" Verbreitung als "nicht genug interessantes Opfer" zurück lehnen kann...

 

[Mitglied 105235]

Nur mal so ,...

IDC - Smartphone Market Insights - Home

Detailed market size and share trends empower companies selling Mobile Phones to get ahead of market changes and compete more effectively. Sign up!

www.idc.com

Und bevor jetzt wer möglicherweise die “relevante Märkte“ Diskussion beginnt ,...

Mobile Betriebssysteme - Internetnutzung 2024 | Statista

Was ist das führende Betriebssystem bei der mobilen Internetnutzung mit Smartphones? In Deutschland dominieren Android und Apples Betriebssystem iOS.

de.statista.com

Dann hat mich mein Gefühl ja nicht getäuscht bzgl. der Verteilung in Europa ja nicht wirklich getäuscht.

Du weißt auf was ich heraus will...

Ja weis ich.

 

[Jan Gruber]

Noe zurücklehnen ist auf keinen Fall, vor allem weil ja eben MVP-Targets auf iOS setzen - zb staatliche Institutionen die nur iPhones ausgeben weil die sicherer sind / sein sollen. Die kannste dir dann halt auch echt schnell vergraulen mit so Nummer.