Vollzugriff: E-Mail kann iPhone und iPad übernehmen – kein Patch verfügbar
Apple achtet sehr auf Sicherheit der Betriebssysteme – offene Lücken sind rar und werden zu hohen Preisen in Hackerbörsen gehandelt. Kriminelle, aber auch Regierungsbehörden sind sehr an Lücken interessiert, um Daten von Apple-Geräten auslesen zu können. Über die Jahre hat Apple bereits sehr viele Angriffsvektoren geschlossen – doch in einem komplexen Betriebssystem gibt es viele mögliche Wege, eine Attacke durchzuführen. Die erste iOS-Iteration (damals noch iPhoneOS) ließ sich beispielsweise durch ein speziell präpariertes TIFF-Bild zum Ausführen von beliebigen Code verleiten – ein Fehler, welcher anfänglich zum Jailbreak verwendet wurde.
Nun aber sind Sicherheitsforscher von ZecOps auf eine kritische
Sicherheitslücke gestoßen, welche derzeit aktiv ausgenutzt wird. Laut dem Bericht klafft im MIME-Framework, welches Mail zum Dekodieren von E-Mails verwendet, ein großer Fehler: Durch eine speziell präparierte E-Mail ist es möglich, in vorhersehbare Speicherbereiche zu schreiben, aus welchen wohl auch Code ausgeführt werden kann. Durch Ausnutzen von weiteren Lücken ist es somit möglich, ein iOS- und iPadOS-Gerät durch das Verschicken einer E-Mail anzugreifen. Laut den Sicherheitsforschern wird diese Attacke derzeit aktiv ausgenutzt und auf Endkundengeräten nachgewiesen.
iOS 13: Keine Nutzerinteraktion für Attacke erforderlichDer Anwender bekommt von der Attacke erst einmal nichts mit – bis auf, dass die integrierte Mail-App etwas langsamer ist oder sich neu startet. Ein aktives Öffnen der E-Mail ist in iOS 13 nicht notwendig, um die Attacke auszuführen. In iOS 12 muss der Anwender hingegen die E-Mail auswählen, damit der Angriff erfolgreich verläuft. Apple baute mit iOS 13 die Funktionsweise der Mail-App um – bereits beim Empfangen einer E-Mail wird diese im Hintergrund heruntergeladen und dekodiert. Aus diesem Grund ist die Attacke auf iOS 13 auch ohne Nutzerinteraktion erfolgreich. Der Angriffsvektor im MIME-Framework existiert schon seit iOS 6, welches im Jahr 2012 erschien – es ist nicht bekannt, wie lange Hacker die Lücke schon ausnutzen.
Kein Patch verfügbarDerzeit gibt es keine öffentliche iOS- oder iPadOS-Version, welche die Lücke schließt. Apple wurde erstmalig am 19. Februar auf die Lücke hingewiesen – doch den Sicherheitsforschern war es erst möglich, am 23. März ein reproduzierbares Szenario an Apple zu melden. Am 15. April behob Apple den Fehler in der ersten Beta von iOS 13.4.5 – doch diese ist aktuell noch nicht als finale Version verfügbar. Somit steht aktuell kein öffentliches Update bereit, welches diese kritische Sicherheitslücke schließt. Es ist nicht bekannt, wann die finale Version von iOS 13.4.5 erscheint – es wird aber gemunkelt, dass diese in den kommenden Tagen der Fall ist.
Dritthersteller-Mail-Apps und macOS sind von dieser Lücke nicht betroffen. Zu watchOS gibt es aktuell keine Angaben, ob der Fehler auch hier vorhanden ist. Anwender haben aktuell keine andere Wahl, außer auf eine Dritthersteller-App auszuweichen oder auf iOS 13.4.5 zu warten.