Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Vollzugriff: E-Mail kann iPhone und iPad übernehmen – kein Patch verfügbar

Apple achtet sehr auf Sicherheit der Betriebssysteme – offene Lücken sind rar und werden zu hohen Preisen in Hackerbörsen gehandelt. Kriminelle, aber auch Regierungsbehörden sind sehr an Lücken interessiert, um Daten von Apple-Geräten auslesen zu können. Über die Jahre hat Apple bereits sehr viele Angriffsvektoren geschlossen – doch in einem komplexen Betriebssystem gibt es viele mögliche Wege, eine Attacke durchzuführen. Die erste iOS-Iteration (damals noch iPhoneOS) ließ sich beispielsweise durch ein speziell präpariertes TIFF-Bild zum Ausführen von beliebigen Code verleiten – ein Fehler, welcher anfänglich zum Jailbreak verwendet wurde.


Nun aber sind Sicherheitsforscher von ZecOps auf eine kritische Sicherheitslücke gestoßen, welche derzeit aktiv ausgenutzt wird. Laut dem Bericht klafft im MIME-Framework, welches Mail zum Dekodieren von E-Mails verwendet, ein großer Fehler: Durch eine speziell präparierte E-Mail ist es möglich, in vorhersehbare Speicherbereiche zu schreiben, aus welchen wohl auch Code ausgeführt werden kann. Durch Ausnutzen von weiteren Lücken ist es somit möglich, ein iOS- und iPadOS-Gerät durch das Verschicken einer E-Mail anzugreifen. Laut den Sicherheitsforschern wird diese Attacke derzeit aktiv ausgenutzt und auf Endkundengeräten nachgewiesen.

iOS 13: Keine Nutzerinteraktion für Attacke erforderlich
Der Anwender bekommt von der Attacke erst einmal nichts mit – bis auf, dass die integrierte Mail-App etwas langsamer ist oder sich neu startet. Ein aktives Öffnen der E-Mail ist in iOS 13 nicht notwendig, um die Attacke auszuführen. In iOS 12 muss der Anwender hingegen die E-Mail auswählen, damit der Angriff erfolgreich verläuft. Apple baute mit iOS 13 die Funktionsweise der Mail-App um – bereits beim Empfangen einer E-Mail wird diese im Hintergrund heruntergeladen und dekodiert. Aus diesem Grund ist die Attacke auf iOS 13 auch ohne Nutzerinteraktion erfolgreich. Der Angriffsvektor im MIME-Framework existiert schon seit iOS 6, welches im Jahr 2012 erschien – es ist nicht bekannt, wie lange Hacker die Lücke schon ausnutzen.

Kein Patch verfügbar
Derzeit gibt es keine öffentliche iOS- oder iPadOS-Version, welche die Lücke schließt. Apple wurde erstmalig am 19. Februar auf die Lücke hingewiesen – doch den Sicherheitsforschern war es erst möglich, am 23. März ein reproduzierbares Szenario an Apple zu melden. Am 15. April behob Apple den Fehler in der ersten Beta von iOS 13.4.5 – doch diese ist aktuell noch nicht als finale Version verfügbar. Somit steht aktuell kein öffentliches Update bereit, welches diese kritische Sicherheitslücke schließt. Es ist nicht bekannt, wann die finale Version von iOS 13.4.5 erscheint – es wird aber gemunkelt, dass diese in den kommenden Tagen der Fall ist.

Dritthersteller-Mail-Apps und macOS sind von dieser Lücke nicht betroffen. Zu watchOS gibt es aktuell keine Angaben, ob der Fehler auch hier vorhanden ist. Anwender haben aktuell keine andere Wahl, außer auf eine Dritthersteller-App auszuweichen oder auf iOS 13.4.5 zu warten.

Kommentare

eiq
eiq23.04.20 09:08
Mittlerweile muss man ja fast froh sein, dass Apple die Sache nicht einfach aussitzt, sondern tatsächlich an einem Patch arbeitet. Hoffentlich auch für ältere iOS-Versionen.
+1
sierkb23.04.20 09:17
ZecOps Blog (20.04.2020): You’ve Got (0-click) Mail!
ZecOps, 20.04.2020
[…]

Impact & Key Details (TL;DR):
  • The vulnerability allows remote code execution capabilities and enables an attacker to remotely infect a device by sending emails that consume significant amount of memory
  • The vulnerability does not necessarily require a large email – a regular email which is able to consume enough RAM would be sufficient. There are many ways to achieve such resource exhaustion including RTF, multi-part, and other methods
  • Both vulnerabilities were triggered in-the-wild
  • The vulnerability can be triggered before the entire email is downloaded, hence the email content won’t necessarily remain on the device
  • We are not dismissing the possibility that attackers may have deleted remaining emails following a successful attack
  • Vulnerability trigger on iOS 13: Unassisted (/zero-click) attacks on iOS 13 when Mail application is opened in the background
  • Vulnerability trigger on iOS 12: The attack requires a click on the email. The attack will be triggered before rendering the content. The user won’t notice anything anomalous in the email itself
  • Unassisted attacks on iOS 12 can be triggered (aka zero click) if the attacker controls the mail server
  • The vulnerabilities exist at least since iOS 6 – (issue date: September 2012) – when iPhone 5 was released
  • The earliest triggers we have observed in the wild were on iOS 11.2.2 in January 2018
  • FAQ

[…]

Based on ZecOps Research and Threat Intelligence, we surmise with high confidence that these vulnerabilities – in particular, the remote heap overflow – are widely exploited in the wild in targeted attacks by an advanced threat operator(s).

The suspected targets included:
  • Individuals from a Fortune 500 organization in North America
  • An executive from a carrier in Japan
  • A VIP from Germany
  • MSSPs from Saudi Arabia and Israel
  • A Journalist in Europe
  • Suspected: An executive from a Swiss enterprise

[…]

Affected versions:
  • All tested iOS versions are vulnerable including iOS 13.4.1.
  • Based on our data, these bugs were actively triggered on iOS 11.2.2 and potentially earlier.
  • iOS 6 and above are vulnerable. iOS 6 was released in 2012. Versions prior to iOS 6 might be vulnerable too but we haven’t checked earlier versions. At the time of iOS 6 release, iPhone 5 was in the market.
[…]

heise (22.04.2020): iPhones durch Zero-Day-Lücken in Apple Mail angreifbar
iOS-Nutzer sollten die Mail-App vorübergehend nicht benutzen, warnen Sicherheitsforscher. Schwachstellen erlauben unbemerktes Code-Einschleusen.

ars technica (22.04.2020): iOS 0day — A critical iPhone and iPad bug that lurked for 8 years may be under active attack
Malicious emails require little or no interaction; exploits active since at least 2018.

Reuters (22.04.2020): Flaw in iPhone, iPads may have allowed hackers to steal data for years
+4
Tommy1980
Tommy198023.04.20 09:58
Puh...also mit der so hochgelobten Sicherheit von Applegeräten ist es irgendwie schon lange nicht mehr so dolle....
-9
TheRocka23.04.20 09:59
Ok. Nicht benutzen. Muss ich auch die Accounts deaktivieren unter iOS? Ich meine, ich bekomme ja einen Badge, wenn was neues kommt. Reicht es die Mail App zu schließen?
-1
depeche101mode23.04.20 10:05
Und jetzt? Bekomme ich wenigstens was von der E-Mail mit? Wird das ganze automatisch ausgeführt? Oder langt es wenn ich den externen Download, von zb Bildern unterbinde?

Wie kann ich prüfen ob ich betroffen bin?
+2
UWS23.04.20 10:13
Puh das klingt echt nicht gut....
There is no cloud…it’s just someone else’s computer.
+2
Paperflow
Paperflow23.04.20 10:14
depeche101mode
... langt es wenn ich den externen Download, von zb Bildern unterbinde?...

Interessanter Ansatz. Würde mich auch interessieren.
0
gegy23.04.20 10:19
Tommy1980
Puh...also mit der so hochgelobten Sicherheit von Applegeräten ist es irgendwie schon lange nicht mehr so dolle....

Ich bin aber doch lieber bei Apple, denn da gibts es wenigstens Hoffnung auf einen Patch. Stell dir vor du hast ein Android Telefon.
+3
FlyingSloth
FlyingSloth23.04.20 10:43
Bei Stock Android auf Pixel Phones wird das Risiko ähnlich niedrig sein wie bei iOS auf iPhones. Bekomme auf meinem Pixel monatlich Security Patches, die in der Regel 10-15 MB betragen.
gegy
Tommy1980
Puh...also mit der so hochgelobten Sicherheit von Applegeräten ist es irgendwie schon lange nicht mehr so dolle....

Ich bin aber doch lieber bei Apple, denn da gibts es wenigstens Hoffnung auf einen Patch. Stell dir vor du hast ein Android Telefon.
Fly it like you stole it...
+4
nane
nane23.04.20 10:51
Bei manchen Meldungen fällt mir glatt das Kaffeehaferl aus der Hand. Seit 2012? Danke MTN und für den verschütteten Kaffee

PS: 13.4.5? Hab ich was übersehen? Ich habe gerade erst 13.4.1 als "aktuelles" iOS.
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
0
.YuSuf.
.YuSuf.23.04.20 11:03
Habe eben Canary Mail (soll wohl "sicherer" sein und man kann es 30 Tage kostenlos nutzen) installiert und ein app-spezifisches Passwort erstellt. Die Mails lassen sich in den Einstellungen deaktivieren. Somit kommt man zumindest an seine Mails und das ohne die Mail App von Apple zu verwenden.
Wenn Apple die Lücke geschlossen hat, wird Canary Mail wieder entsorgt. Wie viele offene Lücken wohl noch vorhanden sind ... in einigen Jahren werden wir es erfahren
0
Super8
Super823.04.20 11:18
Alles nur noch mittelmässige Software und Hardware, was da von Apple kommt. Naja, vielleicht der Pro, aber ansonsten. Ist fast wie der Abstieg von Braun..
-8
Radetzky23.04.20 12:12
depeche101mode
Und jetzt? Bekomme ich wenigstens was von der E-Mail mit? Wird das ganze automatisch ausgeführt? Oder langt es wenn ich den externen Download, von zb Bildern unterbinde?

Lies doch einfach den Artikel.
Nein. Ja. Nein.
+3
Stefan S.
Stefan S.23.04.20 13:44
Wozu dient eigtl. der erste Absatz? Framing?
+1
mac_heibu23.04.20 13:50
Framing? Wenn ja, wär‘s in diesem Forum völlig nutzlos. Man muss nur „Sicherheitslücke“ schreiben, und schon explodieren die Threads mit Beiträgen wie „Apple kriegts nicht mehr auf die Reihe!“ o.ä.
-1
holk10023.04.20 14:37
Ich finde die Meldung sehr kryptisch. „...möglich, in vorhersehbare Speicherbereiche zu schreiben, aus welchen wohl auch Code ausgeführt werden kann“. Was heißt das und welche Gefahr droht mir konkret? Gibt es einzigen Fall in Deutschland, wo jemand Schaden erlitten hat oder persönliche Daten abgerufen wurden?
+2
Chrigu4123.04.20 15:42
Verständnisfrage eines Laien: Mail auf dem Mac ist offenbar nicht betroffen, also nur auf iPhone/iPad? Dann müsste ich Mail ja nur auf iPhone/iPad deaktivieren. Ich könnte dann zwar bis zum Update in ein paar Tagen(?) keine Mails auf den kleinen Geräten abrufen/senden, was für mic jedoch angesichts der Corona-Halbgefangenschaft für kurze Zeit erträglich wäre. Ist das richtig so?
0
globalls
globalls23.04.20 15:52
Chrigu41
Verständnisfrage eines Laien: Mail auf dem Mac ist offenbar nicht betroffen, also nur auf iPhone/iPad? Dann müsste ich Mail ja nur auf iPhone/iPad deaktivieren. Ich könnte dann zwar bis zum Update in ein paar Tagen(?) keine Mails auf den kleinen Geräten abrufen/senden, was für mic jedoch angesichts der Corona-Halbgefangenschaft für kurze Zeit erträglich wäre. Ist das richtig so?

[Update 23.4.2020 12:30 Uhr] In einem Nachtrag betonte der ZecOps-Chef, dass die Schwachstellen nur Apple Mail für iOS betreffen, nicht aber die Mac-Version. Um das Problem zu umgehen, reiche es die Synchronisation von E-Mail-Accounts abzuschalten – und die Mail-App nicht mehr zu verwenden. Den E-Mail-Abruf kann man in den Einstellungen unter "Passwörter & Accounts" steuern, der Datenabruf sollte hier auf manuell gestellt werden, Push muss man dabei zudem deaktivieren – bis der Apple-Patch vorliegt.
Muss ich denn alles selber machen?
+2
beanchen23.04.20 16:02
globalls
Um das Problem zu umgehen, reiche es die Synchronisation von E-Mail-Accounts abzuschalten – und die Mail-App nicht mehr zu verwenden.
Danke für den Hinweis! War schon nahe dran die Beta einzuspielen aber so ist es mir lieber. Wer weiß, was mit der Beta alles nicht geht.
Unterwegs in Analogistan: https://www.zdf.de/comedy/heute-show/heute-show-spezial-vom-19-januar-2024-100.html
-1
Kerberos23.04.20 16:50
@Chrigu41: Wenn diese Sicherheitslücke seit acht Jahren besteht und in Hackerkreisen bekannt ist, muss man für die paar Tage bis zum Patch nicht mehr unbedingt in Panik verfallen ...
+4
Chrigu4123.04.20 18:08
@Kerberos: Danke, eigentlich hast Du recht – beruhigend.
+1
Fard Dwalling23.04.20 20:18
Mich würde auch Mal interessieren was genau die Gefahr dann ist. Es kann Code ausgeführt werden, OK. Aber um was zu tun? Adressen abfischen? Passwörter auslesen? E-Mails versenden?
Also was genau kann der Angreifer tun?
+1
Bitsurfer23.04.20 23:46
Fard Dwalling
Mich würde auch Mal interessieren was genau die Gefahr dann ist. Es kann Code ausgeführt werden, OK. Aber um was zu tun? Adressen abfischen? Passwörter auslesen? E-Mails versenden?
Also was genau kann der Angreifer tun?
So wie ich mitbekommen habe konnten sie den RAM zumüllen und dann crasht die Mail app.
0
waldemarmac24.04.20 08:19
Auch hier eine Frage eines Laien.
In iOS 12 muss der Anwender hingegen die E-Mail auswählen, damit der Angriff erfolgreich verläuft.
Die Mails werden auf meinem iPhone (iOS 12.3.1) geladen und mit 3 Zeilen Vorschau dargestellt. Wenn ich aus dieser Ansicht die Mail lösche (durch schieben nach rechts) ist alles schon zu spät?
Oder erst wenn ich mir die Mail im ganzen anschaue?
Danke
0
Maniacintosh
Maniacintosh24.04.20 08:51
Kerberos
@Chrigu41: Wenn diese Sicherheitslücke seit acht Jahren besteht und in Hackerkreisen bekannt ist, muss man für die paar Tage bis zum Patch nicht mehr unbedingt in Panik verfallen ...

Naja Stand jetzt, weiß niemand - außer ggf. Apple - wann iOS 13.4.5 final veröffentlicht wird. Dass dies in den kommenden Tagen passiert, wird nur gemunkelt. Und Hackerkreise beschreibt auch eine sehr inhomogene Gruppe. Das Problem ist jetzt aber: Jetzt weiß auch jedes Script Kiddie von dieser Lücke. Bedeutet: Die Lücke wird nun, wo sie öffentlich ist, mit Sicherheit deutlich mehr ausgenutzt werden, als zuvor.
+1
Lord of the Macs
Lord of the Macs24.04.20 09:04
Es gibt inzwischen eine Stellungnahme von Apple dazu, die sie gegenüber "Spiegel Online" abgegeben haben:

"Apple nimmt alle Berichte über Sicherheitsbedrohungen ernst. Wir haben den Bericht der Forscher gründlich untersucht und sind aufgrund der uns vorgelegten Informationen zu dem Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen. Die Forscher haben drei Probleme in der Mail-App identifiziert, aber diese allein reichen nicht aus, um die in iPhones und iPads integrierten Sicherheitsvorkehrungen zu umgehen. Wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden. Ein Software-Update wird diese potenziellen Probleme demnächst beseitigen. Wir schätzen unsere Zusammenarbeit mit Sicherheitsforschern, um die Sicherheit unserer Benutzer zu gewährleisten, und werden den Forschern für ihre Hilfe Anerkennung zollen."

Wenn das nicht der Wahrheit entsprechen sollte, bewegt sich Apple da auf sehr dünnem Eis. Denn dann könnten im Falle eines Falles entsprechende Schadenersatzforderungen gestellt werden.

Ich lehne mich jedenfalls was dieses Thema angeht erstmal zurück und mach mir keinen Stress
Trust me, I am a professional... :-D
0
eyespy3924.04.20 09:42
Der Schaden wird wohl nach dem Original-Text innerhalb der Mail-App (bzw. demons) ausgeführt, indem aus der Ferne (andere) E-Mails mitgelesen, gelöscht oder geändert werden könnten. Das heißt, dass z.B. Informationen mitgelesen werden können. Dann könnte z.B. der Angreifer dafür sorgen, dass eine E-Mail zum Zurücksetzen des Passwortes für einen Online-Zugang angefordert wird, auf die er zugreifen könnte…
Damit ist zwar das iOS-Gerät noch nicht „gekapert“, also sind die anderen Sicherheitsvorkehrungen noch nicht umgangen. Aber Schaden wäre trotzdem entstanden!
0
Gedankenschweif24.04.20 10:37
eyespy39
Das heißt, dass z.B. Informationen mitgelesen werden können.
Dafür müsste mit Hilfe dieser Lücke zunächst eine Software geladen/aktiviert/ausgeführt werden, die die Informationen zu demjenigen schickt, der da etwas mitlesen will.
Und das ist mal gar nicht so trivial. Auf Grund der diversen Sicherheitsmechanismen, wie Sandboxing oder dem Ausschluss des Nachladen von Programmcode, müssen die Hacker schon ein paar mehr Lücken kennen, die sie dann mit der hier beschriebenen erst mal verbinden können müssen.
-1
Alebron
Alebron24.04.20 10:58
Also bei Focus Online liest sich das ein wenig entspannter...
Man konnte bei den iPhones, die betroffen waren, keinen schädlichen Code mehr erkennen, es seien nur Indizien für einen möglichen Hack gefunden worden, und es sind 2 weitere Sicherheitslücken vonnöten, damit die Attacke überhaupt erfolgreich durchgeführt werden kann. Wie diese aussehen sollen, steht da leider (oder zum Glück? ) nicht. Vielleicht muss ja noch eine weitere modifizierte App installiert sein?

Es steht da auch nichts von "Übernahme", sondern nur Mails können gelesen, verändert und gelöscht werden.

Meine iOS-Geräte werden wohl keinen Patch mehr bekommen, iPhone 5c (yeah, still running, original battery!) und iPad mini mit 12.x als System.
+3
Wurzenberger
Wurzenberger24.04.20 12:34
Alebron
Meine iOS-Geräte werden wohl keinen Patch mehr bekommen, iPhone 5c (yeah, still running, original battery!) und iPad mini mit 12.x als System.
Safety last.
-3
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.