Apples Standard-Mail-Anwendung für das iPhone hat einen schwerwiegenden Sicherheitsmangel, behaupten Forscher

Sicherheit

Das Problem besteht seit fast 10 Jahren, sagt die Firma

Sicherheitsforscher sagen, dass das iPhone einen schwerwiegenden Fehler in der ursprünglichen iOS-Mail-Anwendung enthält, der es für Hacker anfällig macht, so ein Bericht, der am Mittwoch von der in San Francisco ansässigen Firma ZecOps veröffentlicht wurde.

Die Schwachstelle war Apple zuvor nicht bekannt gegeben worden, was es für eine Vielzahl böser Personen extrem wertvoll macht. ZecOps sagt, dass es “mit großer Zuversicht davon ausgeht, dass diese Schwachstellen… in der Öffentlichkeit bei gezielten Angriffen durch einen oder mehrere fortgeschrittene Bedrohungsanbieter in großem Umfang ausgenutzt werden”.

Die ZecOps geht davon aus, dass mindestens sechs hochrangige Zielpersonen Opfer der Ausbeutung waren, darunter eine Führungskraft eines Mobilfunkanbieters in Japan und “Personen aus einem der Top 500-Unternehmen in Nordamerika”. ZecOps lehnt es aus Datenschutzgründen ab, die Namen der Opfer zu nennen, und gibt an, dass es nicht in der Lage war, den bösartigen Code zu erhalten, da die E-Mail-Nachrichten vermutlich von den Hackern aus der Ferne gelöscht wurden.

“Die Reichweite des Angriffs besteht darin, eine speziell gestaltete E-Mail an die Mailbox eines Opfers zu senden, die es ihm ermöglicht, die Schwachstelle im Kontext der iOS MobileMail-Anwendung auf iOS 12 oder des Mails auf iOS 13 auszulösen”, heißt es im Bericht. Laut ZecOps existiert die Schwachstelle, die mindestens zwei verwandten iOS Zero-Day-Exploits zugrunde liegt, in der Mail-Anwendung mindestens seit iOS 6, das 2012 veröffentlicht wurde.

Zum jetzigen Zeitpunkt scheint ZecOps jedoch nicht über öffentliche Beweise für die verwendeten Exploits zu verfügen, die sie gerne verbreitet, was einige Sicherheitsforscher dazu veranlasst, die Gültigkeit der Behauptung in Frage zu stellen. Dazu gehört auch Jann Horn, ein Forscher des Google-Projekts “Project Zero Cybersecurity”:

Was diesen speziellen Exploit theoretisch so gefährlich macht, ist die Tatsache, dass er das Opfer nicht dazu zwingt, eine Datei herunterzuladen oder eine mit Malware verseuchte Website zu besuchen. Stattdessen ist für die entfernte Ausführung von Code auf dem iOS-Gerät eines Opfers lediglich erforderlich, dass die Mail-Anwendung die E-Mail empfängt und das Opfer die Nachricht öffnet.

ZecOps gibt an, die Ergebnisse des Hacks in seinem Labor reproduziert zu haben, nachdem sie im letzten Sommer auf verdächtige Abstürze auf den iPhones der Kunden geändert wurden. Dann meldete es die Exploits im vergangenen Monat an Apple, die laut ZecOps die Schwachstelle bereits in der jüngsten Betaversion von iOS behoben haben. Es wird erwartet, dass die Korrekturen für die Nicht-Beta-Version von iOS in einem Update für alle Benutzer in den kommenden Wochen eintreffen werden. Apple lehnte es ab, die Ergebnisse zu kommentieren.

“Um diese Probleme abzuschwächen – Sie können die neueste verfügbare Beta-Version verwenden. Wenn die Verwendung einer Beta-Version nicht möglich ist, ziehen Sie in Betracht, die Mail-Anwendung zu deaktivieren und Outlook oder Gmail zu verwenden, die nicht anfällig sind”, schreibt ZecOps.

 

-

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.