Ein Cybersecurity-Experte hat eine Schwachstelle entdeckt, die die iOS-Mail-App betrifft und Nutzerdaten gefährdet
Apples E-Mail-Client, die Mail-App, ist gefährlich, weil sie eine schwerwiegende Schwachstelle aufweist. Und das schon seit sehr langer Zeit: seit iOS 6 im Jahr 2012 veröffentlicht wurde. Dies wurde von der Cybersecurity-Firma ZecOps entdeckt, die auch davon ausgeht, dass die Schwachstelle bereits mindestens einmal ausgenutzt wurde.
Bei Ausnutzung dieser Schwachstelle könnte ein Hacker bösartigen Code (d.h. Malware oder einen Virus) auf dem Gerät einer Person ausführen, in einigen Fällen ohne dass der Benutzer auf irgendwelche Links klicken oder Dateien herunterladen muss: Es handelt sich um einen Fehler in der Mail-App und iOS, der ausgenutzt werden kann, indem das Opfer eine normale E-Mail erhält. Das Problem, so ZecOps, ist, dass Geräte mit iOS 13 noch leichter anzugreifen sind als Geräte mit iOS 12 oder früher. Der erste echte Fall eines Angriffs, der diese Schwachstelle ausnutzte, war laut dem Unternehmen für elektronische Sicherheit im Januar 2018, als ein Gerät mit iOS 11.2.2 angegriffen wurde. Die Lösung? Es gibt keinen: Apple hat noch keinen Patch für das Betriebssystem oder Mail veröffentlicht, der die Schwachstelle schließen könnte.
Warum die Mail-App gefährlich ist
Die von ZecOps entdeckte Schwachstelle besteht aus einem Fehler, der es einem Hacker ermöglicht, aus der Ferne Code auszuführen, wenn er dem potenziellen Opfer eine E-Mail schickt, die viel RAM verbraucht. Es ist nicht nötig, eine große Nachricht zu verfassen, sondern die E-Mail einfach so zu verpacken, dass der Speicherverbrauch drastisch steigt. Sobald dies erreicht ist, kommt die Schwachstelle ins Spiel, aber ZecOps hat sie nicht im Detail beschrieben, um Apple Zeit zu geben, die Schwachstelle zu schließen.
Kein Klick erforderlich
Die Schwachstelle kann ausgelöst werden, bevor die gesamte E-Mail heruntergeladen wird, so dass ihr Inhalt nicht unbedingt auf dem Gerät verbleibt und daher möglicherweise nicht einmal eine Spur hinterlässt. Es ist möglich, dass es viele solcher Angriffe gegeben hat, ohne dass es jemand bemerkt hat. Das liegt auch daran, dass der Benutzer in iOS 13 nicht mehr auf Links klicken oder angehängte Dateien herunterladen muss. Unter iOS 12 oder früher ist jedoch eine Benutzeraktion erforderlich. In jedem Fall beginnt der Angriff, noch bevor das Gerät die E-Mail-Nachricht anzeigt. Da es noch keinen Patch für diese Sicherheitslücke gibt, rät ZecOps allen Apple-Nutzern, die Mail-App nicht zu verwenden und sie vorübergehend durch eine gleichwertige zu ersetzen.