Nach iPhone-Update
Apple Mail ist wieder sicher - aber wovor?
Mit dem Update auf iOS 13.5 hat Apple Sicherheitslücken in seiner Mail-App geschlossen. Die Firma ZecOps und das BSI hatten eindrücklich gewarnt, Apple selbst sah das anders und ließ sich mit der Behebung Zeit.
by Patrick BeuthAm 20. April warnte die Firma ZecOps die Öffentlichkeit vor zwei Sicherheitslücken in Apple Mail, der Standard-E-Mail-App auf allen iPhones. Diese würden es Dritten erlauben, Code auf beliebigen iPhones auszuführen und zum Beispiel auf E-Mails zuzugreifen oder sie zu löschen, unter Umständen völlig ohne Zutun der Opfer. So etwas sei auch bereits mehrfach geschehen, und zwar praktisch schon seit es iPhones gibt. Unter anderem geht die US-Firma davon aus, dass "ein VIP aus Deutschland" Opfer raffinierter Hacker geworden ist, ebenso "ein Journalist aus Europa". ZecOps verdächtigt "mindestens einen staatlichen Akteur", die Schwachstellen auszunutzen.
Drei Tage später griff das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Bericht von ZecOps auf und veröffentlichte eine eigene Warnung, man schätze "diese Schwachstellen als sehr kritisch ein" und empfehle die Deinstallation der App oder die Nutzung alternativer Anwendungen. BSI-Präsident Arne Schönbohm wird zitiert mit dem Satz: "Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen."
Es dauerte dann vier Wochen, bis Apple diese Lösung für alle Nutzerinnen und Nutzer bereitstellte. Was ziemlich langsam erscheint für die Behebung eines angeblich schwerwiegenden Problems, von dem potenziell Hunderte Millionen Menschen betroffen sein könnten. Der Grund: Apple sah die Sache anders. Man habe die von ZecOps gemeldeten Probleme genau untersucht und sei "zu dem Schluss gekommen, dass sie kein unmittelbares Risiko für unsere Nutzer darstellen". Die Schwachstellen allein seien "nicht ausreichend, um die Sicherheitsmaßnahmen in iPhones und iPads zu umgehen".
Mit der Bereitstellung des Updates auf iOS 13.5 jedenfalls gelten beide Lücken als geschlossen. Apple erwähnt sie mittlerweile auch in den Beschreibungen zum Update - aber nur allgemein als Auslöser für "heap corruption", "memory modification" oder "application termination", das sind Speicherfehler und App-Abstürze.
Nur ZecOps glaubt an tatsächlich erfolgte Angriffe
War die Aufregung also übertrieben? Das ist noch immer schwer zu sagen, denn Einigkeit herrscht bei den Beteiligten nur darüber, dass die von ZecOps entdeckten Schwachstellen allein keineswegs die Übernahme fremder Geräte ermöglichten. Dazu, sagt auch ZecOps selbst, bräuchte es eine Kette von Exploits, also Code zum Ausnutzen von Sicherheitslücken, und Apple Mail könnte da nur den Anfang bilden. Aber niemand außer ZecOps spricht von tatsächlich erfolgten Angriffen auf Basis dieser Schwachstellen in Apple Mail. Ob es den von der Firma erwähnten staatlichen Akteur, der fremde iPhones mit manipulierten E-Mails angreift, wirklich gibt, bleibt unklar.
Das BSI jedenfalls sieht sich dennoch bestätigt. Die Existenz weiterer Schwachstellen, mit denen Angreifer nach Ausnutzen der Mail-Sicherheitslücken weitermachen könnten, werde "durch das BSI als plausibel eingestuft. Daher wird auch das Bedrohungsszenario durch das BSI als plausibel eingeschätzt". Das Bundesamt empfiehlt daher nun, das Update auf iOS 13.5 schnellstmöglich einzuspielen.
Icon: Der Spiegel