Apples iOS-Mail-Schwachstelle: Hoffen auf ein schnelles Update

Wir haben gestern bereits über die in der Mail-App auf dem iPhone und dem iPad vorhandene Schwachstelle informiert. Die Berichterstattung in Nachrichtensendungen und eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) verunsichern derzeit viele Nutzer.

Immerhin scheint es so, als werde die Sicherheitslücke derzeit nicht in großem Stil ausgenutzt, sondern lediglich für gezielte Angriffe auf ausgewählte Personen verwendet. Wer auf Nummer Sicher gehen will, lässt aber besser die Finger von der Mail-App auf iPhone und iPad, bis Apple die zeitnah versprochene Fehlerbehebung ausliefert.

Apple Mail: BSI warnt vor Benutzung

Die iOS-App "Mail" ist auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich sind, ist Gegenstand weiterer Prüfungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Für die insgesamt zwei Schwachstellen stehen bislang keine Patches zur Verfügung. Medienberichten zufolge werden die Schwachstellen bereits aktiv ausgenutzt. So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App "Mail" unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren.
-Bundesamt für Sicherheit in der Informationstechnik

Wenn man der Empfehlung des BSI folgen will, kann man den Mail-Abruf auf einzelnen Geräten über die Einstellungen „Passwörter & Accounts“ temporär deaktivieren und stattdessen per Webmail auf seine Konten zugreifen. Der Abruf von iCloud-Mails per Browser ist allerdings auf dem iPhone nicht möglich, das funktioniert nur auf dem iPad und dem Computer. Eine von Apple vorgegebene Einschränkung mit leider negativem Einfluss.

Mit Drittanbieter-Alternativen kommen neue Gefahren

Falls ihr euch für die E-Mail-App von einem Drittanbieter entscheidet, solltet ihr hier sorgfältig auswählen. Etliche dieser Anwendungen bietet Zusatzdienste wie erweiterte Push-Mitteilungen und automatische Sortierung an, für diese ihr allerdings eure Kontendaten an den Betreiber übermitteln und dieser teils auch eure E-Mails auf seinen Servern zwischenspeichert. Auch wenn niemand gerne darüber redet: Hier tut sich ein neues Sicherheitsrisiko auf.

Wir wollen die aktuelle Mail-Schwachstelle keinesfalls verharmlosen, doch scheint uns aktuell noch der sinnvollste Weg, auszuharren und auf eine schnelle Reaktion seitens Apple zu hoffen. Soweit bislang bekannt ist, wird die Schwachstelle war schon aktiv ausgenutzt, jedoch in kleinem Rahmen und gezielt gegen ausgewählte Personen des öffentlichen Lebens gerichtet.

Apple muss sich in diesem Zusammenhang allerdings Kritik gefallen lassen. Einmal mehr merken Sicherheitsforscher an, dass iOS als geschlossenes System Personen außerhalb von Apple nur marginale Möglichkeiten für Sicherheitsüberprüfungen bietet. Die von Apple stets plakativ beworbene Sicherheit seiner Geräte liegt allein in der Hand des Herstellers – die in letzter Zeit bekannt gewordenen und teils über Jahre hinweg existierenden Sicherheitslücken stellen diesem Monopol nachvollziehbar in Frage.