Connect with us

Hi, what are you looking for?

Auto & Bike & CO

Zero-Day-Lücken machen IPhone und IPad über Apple Mail angreifbar

Offenbar ist es bereits seit längerer Zeit möglich aus der Ferne schädliche Codes auf IPhone und IPad einzuschleusen. User sollten daher die Mail-App erst nutzen wenn der Apple Patch final vorliegt.

Offenbar ist es bereits seit längerer Zeit möglich aus der Ferne schädliche Codes auf IPhone und IPad einzuschleusen. User sollten daher die Mail-App erst nutzen wenn der Apple Patch final vorliegt.

iPhones durch Zero-Day-Lücken in Apple Mail angreifbar

Quelle: Heise.de | Autor: Leo Becker

Entfernte Angreifer können offenbar über manipulierte E-Mails Schadcode auf iPhones und iPads einschleusen – bis hin zu Geräten mit der aktuellen Version iOS 13.4.1. Diese Schwachstellen in Apples vorinstallierter Mail-App werden bereits seit längerer Zeit für gezielte Angriffe eingesetzt, warnte die Sicherheitsfirma ZecOps am Mittwoch. Unter iOS 13 lassen sich Angriffe auf diesem Weg ohne Nutzerinteraktion unbemerkt im Hintergrund ausführen, schreiben die Sicherheitsforscher.

Unter iOS 12 klappe das nur, wenn der Angreifer auch Kontrolle über den Mail-Server hat, sonst müsse das Opfer erst dazu gebracht werden, die manipulierte E-Mail zu öffnen.
Apple-Patch liegt vor – aber noch nicht final

Ein Angreifer erhalte so Zugriff auf die Mail-App, könne bei Kenntnis einer Kernel-Schwachstelle aber auch das komplette iPhone oder iPad übernehmen, heißt es in dem Bericht. Die Lücken wurden an Apple gemeldet und der Hersteller hat diese in der Beta von iOS 13.4.5 inzwischen auch behoben, betont ZecOps, das Update ist aber noch nicht allgemein verfügbar.

Man habe sich dazu entschieden, die Öffentlichkeit schon vor Freigabe des Apple-Patches zu informieren, da man bereits mehrere Angriffe auf Firmen und Einzelpersonen – darunter Manager, Journalisten und VIPs – protokolliert habe. Angreifer seien sich vermutlich bewusst, dass Apple die Lücken bald schließen wird, deshalb könnten sie derzeit mit Hochdruck in größerem Umfang eingesetzt werden. ZecOps geht davon aus, dass die Schwachstellen seit vielen Jahren in iOS existieren und auch schon länger – unbemerkt – für gezielte Angriffe eingesetzt werden.
Opfer merken angeblich nichts

Dem Bericht zufolge merkt das Opfer meist nichts, möglicherweise komme es zu einer vorübergehenden Verlangsamung der Mail-App. Bei fehlgeschlagenen Angriffen könne man unter Umständen E-Mails mit dem Text „This message has no content“ finden – dieser kann aber auch im Normalbetrieb erscheinen, seit iOS 13 klagen Nutzer teils über erhebliche Probleme mit der Mail-App.

Nutzer sollten vorerst auf die Verwendung von Apple Mail verzichten und auf einen alternativen E-Mail-Client ausweichen, schreibt die Sicherheitsfirma – oder die Public Beta von iOS 13.4.5 installieren.

[Update 23.4.2020 12:30 Uhr] In einem Nachtrag betonte der ZecOps-Chef, dass die Schwachstellen nur Apple Mail für iOS betreffen, nicht aber die Mac-Version. Um das Problem zu umgehen, reiche es die Synchronisation von E-Mail-Accounts abzuschalten – und die Mail-App nicht mehr zu verwenden. Den E-Mail-Abruf kann man in den Einstellungen unter „Passwörter & Accounts“ steuern, der Datenabruf sollte hier auf manuell gestellt werden, Push muss man dabei zudem deaktivieren – bis der Apple-Patch vorliegt.

[Update_2 23.4.2020 14:30 Uhr] Mit iOS intim vertraute Sicherheitsforscher fordern mehr Details zu einer möglichen Ausnutzung der Schwachstellen: Ihm erschließe sich noch nicht, wie sich die von ZecOps beschriebenen Crashes dafür einsetzen lassen, das Einschleusen von Schadcode in iOS 13 zuverlässig zu ermöglichen, schreibt beispielsweise der Hacker Dino A. Dai Zovi. ZecOps hat inzwischen in Aussicht gestellt, weitere Details veröffentlichen zu wollen. (lbe)

Quelle: heise.de | Autor: Leo Becker

 

Anzeige

Restaurant & Co.

„Think global – live local“ Er gehört zu Stuttgart wie der Wasn, das Weindorf und die Wilhelma. Der Ratskeller ist da, wo man von...

Allgemein

Die isländische Fluggesellschaft PLAY geht an die Börse Am 9. Juli um 09:30 Uhr begann der Aktienhandel von PLAY an der Nasdaq First North...

BizTravel

GHOTEL GROUP ERÖFFNET MOXY HOTEL AM FLUGHAFEN KÖLN BONN  Der neue Hotspot für moderne Business- und Freizeitgäste überzeugt mit smartem Design zu erschwinglichen Preisen....

Auto & Bike & CO

Natürlich ließ Aaron Troschke seinen ungewöhnlichen und kuriosen Arbeitseinsatz von Kamerateams begleiten. Zu sehen ist das Ganze auf seinem YouTube-Kanal „Hey Aaron!!!“.

Auto & Bike & CO

„Porsche Drive Abo“ erleichtert Einstieg in die E-Mobilität   Für alle Porsche-Enthusiasten, die einen elektrischen Sportwagen fahren wollen, ohne sich längerfristig zu binden, baut...

Auto & Bike & CO

Einfache, transparente und komfortable Payment-Möglichkeiten entsprechen Verbraucherverhalten I Integration weiterer Bezahlverfahren soll Option bleiben

Weitere Beiträge

Sport Speziell

Microsoft-Sicherheitslücken laut neuestem Bericht seit 2013 mehr als verdoppelt - Aufhebung von Administratorrechten könnte 80 Prozent der kritischen Sicherheitslücken von 2017 entschärfen

IT & Telekommunikation

Laut Nationaler Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) waren Mittelständler in der Vergangenheit in erster Linie das zufällige Opfer breit angelegter Massenangriffe. In...

Restaurant & Co.

Iphone Crash… Display gesprungen… Smartphone unter Wasser gesetzt… Handy Akku defekt… Defekte Home und Power-Button… BSH Stuttgart repariert alle gängigen Marken und Hersteller: Apple...

News

Das Ipad 3 wurde erst vor ca. acht Monaten präsentiert, nun stellte Apple-Chef Tim Cook den Nachfolger vor. Ab November sollen Ipad 4 sowie...

News

Das neue iPhone 4S ist da und Apple hat über vier Millionen Einheiten bereits am ersten Wochenende verkauft. Was passiert nun mit den “alten”...

Recht & Steuern

Die App forfone lässt sich auf den mobilen Apple-Geräten und auf Android-Smartphones installieren. Anschließend ist es möglich, innerhalb der forfone-Community völlig kostenfrei zu telefonieren...

Anzeige
Send this to a friend