Millionen Geräte betroffen: Wie gefährlich sind die Sicherheitslücken in Apples Mail-App?

Published 24/04/2020 in Digitec, Wirtschaft

Millionen Geräte betroffen: Wie gefährlich sind die Sicherheitslücken in Apples Mail-App?
Apples Mail-App

Es ist eines der schärfsten Schwerter, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) als oberste Cyber-Sicherheitsbehörde in Deutschland ziehen kann: Die Fachleute aus Bonn haben am Donnerstagabend dazu aufgerufen, die auf allen iPhones und iPads standardmäßig installierte Mail-App zu löschen. Durch sie seien „Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet“.

Grund dafür sind mehrere Sicherheitslücken in dem E-Mail-Programm von Apple. Sie ermöglichen dem Amt zufolge, die E-Mails eines Nutzers zu lesen, zu verändern und zu löschen. Apple dementierte am Freitag eine unmittelbare Gefahr für die Nutzer. Auf Nachfrage blieb das BSI aber bei seiner Einschätzung: „Wir sind der Ansicht, dass Apple generell einen guten Job macht im Schutz seiner Geräte. Aber zum gegenwärtigen Zeitpunkt blieben wir bei dem Aufruf, die App vorläufig zu löschen“, sagte ein Sprecher der F.A.Z.

Angreifer müssten zur Ausnutzung der Schwachstelle lediglich eine E-Mail mit Schadcode an den Nutzer schicken, hieß es vom BSI. Unter der neuesten Betriebssystemversion, iOS 13, sei nicht einmal ein Öffnen der E-Mail durch den Nutzer nötig. iPhone- und iPad-Besitzer, die noch die veraltete Betriebssystemversion iOS 12 oder eine ältere auf ihren Handys haben, müssen die Mail zumindest aktiv öffnen. Doch das ist kaum ein Trost, schließlich gelten regelmäßige Updates eigentlich als effizienteste Methode, um sich vor Hackerangriffen zu schützen.

Hunderte Millionen iPhones im Umlauf

Die Zahl „Tausende“ für die Anzahl der betroffenen Geräte scheint etwas niedrig gegriffen zu sein, denn allein im Geschäftsjahr 2019 hat Apple dem Marktforschungsunternehmen IDC zufolge auf der Welt mehr als 185 Millionen iPhones verkauft. In Deutschland gibt es schon Arbeitgeber, die dazu aufrufen, die Mail-App von dienstlichen iPhones zu löschen und stattdessen auf andere E-Mail-Apps wie Microsofts Outlook zurückzugreifen.

„Die beiden Schwachstellen in der Mail-App reichen noch nicht aus, um den ganz großen Schaden anzurichten“, sagte der BSI-Sprecher der F.A.Z. „Aber die Forscher haben glaubwürdig dargelegt, dass es einen Exploit gibt und es mittels diesem auch Angriffe gegeben hat.“ ,Exploit’ ist der Fachausdruck für eine Methode, eine Schwachstelle auszunutzen. „Wir sind im Gespräch mit Apple und den Forschern“, sagte der Sprecher weiter.

Die genannten Forscher gehören zum Cyber-Sicherheitsunternehmen Zecops aus Kalifornien. Diese hatten in einem Bericht schon Anfang der Woche vor der Schwachstelle gewarnt. Den Fachleuten aus San Francisco zufolge sind Angreifer zudem in der Lage, eine schadhafte Mail ins Gerät einzuschleusen, wenn die Mail-App nur im Hintergrund läuft, also nicht auf dem Bildschirm zu sehen ist. Nach erfolgreichem Einschleusen sei es ihnen auch möglich, die E-Mail wieder vom Gerät zu löschen, sodass der Nutzer von dem Angriff gar nichts mitbekommt.

Die Lücke ist weiter offen

Kritisch macht die Schwachstelle, dass Apple noch keinen Patch zur Verfügung stellt, der die Sicherheitslücke schließt. Der iPhone-Hersteller teilte am Freitag mit, dass ihm keine Hinweise auf eine Ausnutzung der bekanntgewordenen Schwachstellen vorlägen. Man gehe davon aus, dass die Sicherheitslücken „kein unmittelbares Risiko“ für die Nutzer darstellten. Dem Unternehmen zufolge müssen für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden.

Damit widersprach Apple Aussagen des Leiters von Zecops, Zuk Avraham, dem nach eigenen Angaben Indizien dafür vorliegen, dass die Lücken bei mindestens sechs Hackerangriffen ausgenutzt wurden. Unter den Zielen der Angriffe seien Manager großer amerikanischer Unternehmen sowie eines japanischen Mobilfunkanbieters, ein Journalist in Europa und ein nicht näher genannter Prominenter in Deutschland gewesen.

Es droht eine Welle von Angriffen

Dieses Muster der mutmaßlichen Opfer deutet darauf hin, dass Angreifer es über die Sicherheitslücke zumindest bislang vorrangig auf hochrangige und für Hacker besonders wertvolle Ziele abgesehen haben. Zecops zufolge besteht die Sicherheitslücke schon seit acht Jahren, die bisher entdeckten Angriffe reichten bis Januar 2018 zurück. Solche sogenannten „Zero Day“-Lücken, die bestehen, ohne dass der Hersteller der betroffenen Geräte davon weiß, werden unter Kriminellen und Geheimdiensten teilweise für Millionen gehandelt. Da die Lücke nun aber öffentlich wurde, befürchtet Zecops eine Welle von zahlreichen Angriffen – denn sobald Apple die Lücke mit einem Patch schließt, ist sie für Angreifer wertlos.

Dieser Sorge schließt sich das BSI an. „Der mögliche Angriff lässt sich relativ leicht skalieren. Jetzt, wo die Schwachstelle bekannt geworden ist, ist es ein denkbares Szenario, dass man von einer gezielten auf eine massenhafte Ausnutzung umstellen könnte“, sagte der Sprecher. „Zusammengenommen gibt es einfach eine relativ hohe Kritikalität der Situation.“

Print article

Kommentieren

Bitte Pflichtfelder ausfüllen