iOS: Kritische Sicherheitslücke in Mail-App

[MichaNbg]

Glaub was die Preise für Sicherheitslücken betrifft gibt es da aber ganz unterschiedliche Abwägungen. Eben Masse vs Klasse. Wenn du Masse erwischen willst, brauchst Du nach wie vor nen Exploit für Android. Klasse (hochwertige Ziele) erwischte mitunter eher bei iOS, darum sind die Exploits da auch teuer ,... Das iOS sicherer ist als Android, und Android weiter verbreitet ist, ist keine Mähre von vor 10 Jahren. Braucht man sich ja nur Marktanteile auf der einen Seite, und wie lang es dauert bis die Geräte bei ner Pwn2Own oder so aufgemacht werden auf der anderen Seite, anschauen. Allein die Secure Enclave ist schon noch ein großer Sicherheitsvorteil von Apple - was wir ja immer wieder auch seitens der Behörden indirekt bestätigt bekommen. Was nicht heißt das es irgendwo volle Sicherheit gibt =)

Das habe ich auch nicht bestritten. Nur die Annahme, man lebt auf iOS sicherer weil uninteressanter da geringerer Marktanteil. Das ist ein Trugschluss. Zum einen hat iOS auf wichtigen Märkten wie den USA gute 50% Marktanteil zum anderen findest du iOS bei interessanten Zielpersonen häufiger als bei Android.

Nur diese Schlussfolgerung ist - heutzutage - einfach nicht zu halten. Das mag in den 2000ern richtig gewesen sein, als es um 10 Millionen Mac OS X vs. 1000 Millionen Windows Nutzer ging. (Zahlen rein symbolisch um die Verhältnisse zu repräsentieren). Aber bei iOS sprechen wir dann auch schon von im Betrieb befindlichen Stückzahlen in den hohen drei- bis vierstellige Millionen.
PS: Sind mittlerweile sogar 60% in den USA. In Japan bsp. 65%, in UK gute 50%. Das sind die Märkte, in denen ich lukrative Angriffsziele habe. Da lohnen sich auch komplexere und damit teurere Attacken.

Darum ging es mir. Weniger Marktanteil, daher uninteressant, daher sicherer -> nicht am mobile market.

 

[Benutzer 239228]

Wieder mal nur heiße Luft, wie ich mir gedacht habe.

Apple Says Recently Discovered iOS Mail Vulnerabilities Pose No Immediate Threat, But a Patch Is in the Works

Apple has responded to a recent report on vulnerabilities discovered in its iOS Mail app, claiming the issues do not pose an immediate risk to users....

www.macrumors.com

heise online

News und Foren zu Computer, IT, Wissenschaft, Medien und Politik. Preisvergleich von Hardware und Software sowie Downloads bei Heise Medien.

www.heise.de

Code einschleusen - Speicherüberlauf - Übernahme des Gerätes und damit der Daten

Nein. Eben nicht.

Du hast aber schon mitbekommen das es nicht darum geht - ah da ist eine fremde unbekannte Mail - die klicke ich lieber nicht an...

Doch.

Die Sicherheitslücke ist in dem Sinne sehr kritisch - dass Du gar nichts aktiv machen musst. Deine Apple Mail App synchronisiert im Hintergrund - bekommt die Mail mit Schadcode - im Hintergrund wird der Schadcode ausgeführt - fertig. Dazu musst Du weder unbekannte Mails anklicken - nicht mal musst Du die Mail App öffnen...

Ja richtig. So eine Mail muss aber erstmal kommen. Und was habe ich geschrieben? Dass ich so gut wie nie Mails aus unbekannten Quellen bekomme. Jetzt noch eins und eins zusammenzählen.

...weil das für Apple ein Verkaufsargument ist.

Der einzige, der hier momentan Geld verdienen will, ist diese "Sicherheitsfirma".

 

[MichaNbg]

Nicht ein bisschen Vorschnell im Freispruch?

Nein, ich sage nicht, dass es auf jeden Fall so sein muss wie ZecOps es sagt. Aber alles als heiße Luft zu bezeichnen, nur weil Apple es in einer ersten Reaktion herunterspielt. Puh. Schwer. ZecOps hat ja auch durchaus was zu verlieren, wenn sie hier nicht beweisbaren Mumpitz erzählen würden.

Wenn jemand vor Gericht steht, die Anklage verlesen wird und der Angeklagte sagt "nein, ich bin unschuldig, war alles ganz anders" wird der Richter hoffentlich auch nicht gleich sagen "na dann ist ja alles ok"

Da bin ich jetzt mal gespannt, wie ZecOps seine Aussagen untermauern möchte. Sowas ist brennend interessant.

 

[jensche]

Anstatt ein Statement abzugeben, hätte Apple einfach den Bug gefixt und gut ist.

Anscheinend gibts bei Apple nur noch unfähige Leute.

 

[Benutzer 239228]

@MichaNbg

Damit meine ich nicht die Sache als solche. Sondern die Panikmache, die betrieben wird, auch seitens des BSI zum Beispiel. Manch einer mag das nicht so empfinden. Aber für mich ist das astreine Panikmache. Mail deinstallieren, eine andere App als Alternative mal schnell drüberbügeln. Alles in einer Nacht und Nebel Aktion. Wer weiß denn was diese neue App dann für Probleme mit sich bringt, oder welche datenschutzrelevanten Defizite existieren. Nur schnell eine andere App auf das Gerät klatschen, warum weiß man eigentlich gar nicht. Und der Kram muss ja auch wieder runter, wenn man doch wieder Mail nutzen will in Zukunft.

Man kann es treiben, aber auch übertreiben.

Anstatt ein Statement abzugeben, hätte Apple einfach den Bug gefixt und gut ist.

Anscheinend gibts bei Apple nur noch unfähige Leute.

Ein Fix ist schon fertig. Das Update befindet sich noch in der letzten Testphase. Dir ist schon klar, wie Softwareentwicklung funktioniert?

 

[jensche]

Ein Fix ist schon fertig. Das Update befindet sich noch in der letzten Testphase. Dir ist schon klar, wie Softwareentwicklung funktioniert?

Der Fehler ist ja schon länger bekannt und gemeldet. Genug zeit das in diversen Vorversionen zu bringen.

 

[Mitglied 105235]

Ein Fix ist schon fertig. Das Update befindet sich noch in der letzten Testphase. Dir ist schon klar, wie Softwareentwicklung funktioniert?

Dir ist schon bewusst das Apple öfters auch Updates rausgehauen hat ohne Dev oder PB Beta. 13.4.2 hätte also auch nun einfach kommen können mit den Mail Fix. Der Rest der mit 13.4.5 kommt, kann ja ruhig weiter getestet werden.

 

[Jan Gruber]

@MichaNbg Na dann sind wir uns eh einig. Android - mehr Marktanteil. iOS wichtigere Märkte und MVPs

 

[Benutzer 239228]

Dir ist schon bewusst das Apple öfters auch Updates rausgehauen hat ohne Dev oder PB Beta. 13.4.2 hätte also auch nun einfach kommen können mit den Mail Fix. Der Rest der mit 13.4.5 kommt, kann ja ruhig weiter getestet werden.

Die Umstände sind doch jedes Mal anders. Man kann nie genau sagen, welche Änderung an dem einen Ende des Systems am anderen Ende schwerwiegende Veränderungen oder Probleme verursacht. Deswegen testet man ja idealerweise Wochen oder Monate bis man halbwegs sicher ist und das Update auf zig Millionen Kunden in aller Welt loslassen kann.

 

[MichaNbg]

@MichaNbg

Damit meine ich nicht die Sache als solche. Sondern die Panikmache, die betrieben wird, auch seitens des BSI zum Beispiel. Manch einer mag das nicht so empfinden. Aber für mich ist das astreine Panikmache. Mail deinstallieren, eine andere App als Alternative mal schnell drüberbügeln. Alles in einer Nacht und Nebel Aktion. Wer weiß denn was diese neue App dann für Probleme mit sich bringt, oder welche datenschutzrelevanten Defizite existieren. Nur schnell eine andere App auf das Gerät klatschen, warum weiß man eigentlich gar nicht. Und der Kram muss ja auch wieder runter, wenn man doch wieder Mail nutzen will in Zukunft.

Man kann es treiben, aber auch übertreiben.

Da du keinerlei Details kennst, genau so viel oder wir, ist die Ausführung durchaus mutig.

 

[Hollex]

Auch irgendwie komisch, dass plötzlich diese Sicherheitslücke publik gemacht wird ( und das merkwürdigerweise schon sehr panisch ), wo bei iOS doch demnächst, bzw. im nächsten Update, diese Tracking-Funktion implementiert werden soll. Ein Schelm wer böses dabei denkt

Sondern die Panikmache, die betrieben wird, auch seitens des BSI zum Beispiel. Manch einer mag das nicht so empfinden.

Ja,Ja...der gesunde Menschenverstand und die Intuition bringt einen hier schon zum Grübeln. (Auch ganz mMn.)

 

[Plumpsklo]

Es zeigt sich hier aber wieder mal ein Fehler in der Denkweise von iOS. Die Abhängigkeit der einzelnen Apps von der jeweiligen iOS-Version ist einfach nicht mehr zeitgemäß.

Die Updates müssen, ähnlich wie es schon bei OS X für Apps wie Pages und Co. getan wird, einfach aus dem AppStore kommen und nicht erst mittels OS-Update. Ich hoffe, dass das irgendwann abgestellt wird. Wenn natürlich der Fix auf OS-Ebene stattfinden muss, ändert auch diese Vorgehensweise nichts - dennoch macht die Trennung von App und System Sinn.

 

[double_d]

Ich finde das etwas verkürzt. Per Definition gibt es Zero-Days immer lange - dem Namen nach seit Tag 0.
Relevant sind zwei andere Dinge: Seit wann ist sie schädlichen Kräften bekannt und wird ausgenutzt? Und wie leicht kann sie ausgenutzt werden?

Hinweise, dass sie Hackern bekannt ist gibts seit etwa 18 Monaten. Seit September kann sie SEHR EINFACH ausgenutzt werden, davor nicht. Und seit vorgestern ist sie Allgemein bekannt und kann jetzt auch "großflächig" genutzt werden.

Insofern meine persönliche Einschätzung (und am Ende muss das jeder für sich entscheiden): Seit vorgestern würd ich auf jeden Fall die Mailapp vom Gerät werfen

Ich kann das noch weiter verkürzen. Seit 18 Monaten oder anders ausgedrückt, seit 1 1/2 Jahren ist die Lücke ausnutzbar? Wie viele Betas und Kandidaten von da an bis zum aktuellen Release von iOS gab es in der Zwischenzeit? Anders gefragt: Was macht Apple in eineinhalb Jahren dagegen um jetzt erst mit einem Patch anzufangen, so dass ich als Nutzer die Mail App wirklich löschen soll?

Und die ganz kurze Variante davon ist dann:
Absatz - neuer Punkt - weitere Sache, die an Apple nervt.

 

[Hollex]

Ach ja, und dann beim nächsten Update auf 13.4.5 mit der neuen API Bluetooth Schnittstelle bitte dann nicht plötzlich wundern, dass der Akku beim nächsten Einkauf im Supermarkt dann 50% weniger beim Verlassen hat.

 

[YoshuaThree]

Ach ja, und dann beim nächsten Update auf 13.4.5 mit der neuen API Bluetooth Schnittstelle bitte dann nicht plötzlich wundern, dass der Akku beim nächsten Einkauf im Supermarkt dann 50% weniger beim Verlassen hat.

Ich glaub das liegt eher am 5G Masten. Aber das umgehe ich mit einem Aluhut geschickt...

 

[staettler]

Ach ja, und dann beim nächsten Update auf 13.4.5 mit der neuen API Bluetooth Schnittstelle bitte dann nicht plötzlich wundern, dass der Akku beim nächsten Einkauf im Supermarkt dann 50% weniger beim Verlassen hat.

Darum hat man ja auch vor langer Zeit die Powerbanks in den Handel gebracht

Ich glaub das liegt eher am 5G Masten. Aber das umgehe ich mit einem Aluhut geschickt...

Ich dachte die hätte man im Zuge von Corona alle abgefackelt.

 

[Hollex]

Nix mit Aluhut, ich warte erstmal ab mit diesem Update.

Google und Apple wollen die Corona-Warn-Apps in zwei Stufen unterstützen. Zuerst werden die beiden Unternehmen ab Mai Programmierschnittstellen (APIs) veröffentlichen, die die Erstellung einer solchen App erleichtern sollen. Dabei soll unter anderem sichergestellt werden, dass die Warn-Apps auch dann richtig funktionieren, wenn sie im Hintergrund laufen. Außerdem wollen sich die Konzerne technisch darum kümmern, dass der Akku eines Smartphones bei aktivierter Warn-App nicht zu schnell den Geist aufgibt.

https://www.bz-berlin.de/berlin/faktencheck-wird-mir-die-corona-app-automatisch-aufs-handy-geladen

 

[Mitglied 105235]

Ich glaub das liegt eher am 5G Masten. Aber das umgehe ich mit einem Aluhut geschickt...

Nicht mit bekommen das Apple und Google an einer API arbeiten wegen den Corona Contact Tracking?

Apple/Google: Erste Version der Covid-Tracking-API nächste Woche

Jan Gruber Vor wenigen Tagen haben Google und Apple eine Zusammenarbeit bekannt gegeben, die beiden Hersteller entwickeln einen gemeinsamen Standard für Contact-Tracing-Apps. Die Covid-Tracking-API kommt jetzt deutlich früher als gedacht - die erste Version soll nächste Woche veröffentlicht...

www.apfeltalk.de

 

[sweitenberg]

Wo schreibt denn Apple, dass sie ein anderes Mail-Programm empfehlen?
Thx!

 

[YoshuaThree]

Nix mit Aluhut, ich warte erstmal ab mit diesem Update.

1. Das ist eine API, WENN man eine solche App installiert und verwendet.
2. Der Akkus soll nicht so schnell den Geist aufgeben, WENN die Warn App aktiviert ist.

Ich habe also noch nirgends gelesen bei Deinen Argumenten - dass eine Aktivierung verpflichtend ist.

Nebenbei - Tracking - dazu brauchst Du weder Apple, noch Google. Das macht bereits Dein Provider minütlich - und das kannst Du nicht mal deaktivieren. Dein Provider weiß wer Du bist und wo Du bist - die ganze Zeit. Telekom zum Beispiel stellt die Daten ja - anscheinend anonymisiert - bereits ja zur Verfügung.

Regierungsstellen und entsprechende Institute verfügen bereits über Bewegungsdaten. Und wenn sie wollten - würden sie eben die bei allen Providern abgreifen - und das geht ohne große Probleme. Und während ich theoretisch bei Apple und Google mich unter dem Namen Boris Bumsebär anmelden kann und die 2 Konzerne meinen das wäre tatsächlich ich - haben die Mobilfunkbetreiber Deine tatsächlichen privaten Daten.

Da brauchst Dich nicht über Google oder Apple ereifern und deren neuen API.

Nicht mit bekommen das Apple und Google an einer API arbeiten wegen den Corona Contact Tracking?

Doch - aber das ist für mich uninteressant. Denn sowohl bei Apple als auch bei Google wird beim Erstellen eines Account nicht die Person verifiziert. Ich kann mich als Herbert von Bielefeld anmelden und eine fiktive Adresse verwenden - niemand kümmert es . Mal abgesehen davon, dass Apple und Google für ihre Dienste bereits tracken was geht. Aber wie gesagt - dann bin ich halt nicht ich - sondern Manuela Neuer...

Im Gegensatz zu Deinem Provider. Da musstest Du Dich persönlich verifizieren. Du bist Du - wie im echten Leben. Und der Provider trackt Deine Daten auch live. Nur dass der Deine Bewegungsdaten auch eindeutig Dir zu ordnen kann.

Daher verstehe ich die Apple & Google Aufregung nicht ganz.