Apple bestreitet Richtigkeit des 0-day Mail-Bug-Berichts

[English]Ist am Bericht über zwei 0-day-Schwachstellen bei iOS, über die iPhones und iPads per Mail ‘übernommen werden können’ nichts daran? Zumindest hegen Apple und Sophos Zweifel an dem diese Woche veröffentlichten Bericht eines Sicherheitsforschers.


Anzeige

Worum geht es beim iOS-Mail-Bug

Diese Woche machte ein Bericht des Startup ZecOps, die im Bereich Sicherheit aktiv sind, die Runde. Laut deren Blog-Beitrag gibt es zwei 0-day-Schwachstellen in den Mail-Funktionen von iOS 6 bis zur aktuellen iOS 13.x-Version, über die sich Geräte wie iPhone oder iPad mittels einer Mail übernehmen lassen sollen. Der Nutzer bemerke nichts von diesem Angriff und brauche auch nichts zu anzuklicken, der Empfang einer E-Mail reiche.

Ich hatte im Blog-Beitrag 0-day-Schwachstellen in iOS Mail-App über den Sachverhalt, wie sich dieser nach dem Bereicht der Sicherheitsforscher darstellt, berichtet. Die Sicherheitsforscher gaben an, dass die Schwachstellen ausgenutzt würden, um Personen anzugreifen. Vor wenigen Stunden habe ich in den heute-Nachrichten eine Warnung vor der Schwachstelle vernommen und das BSI warnt vor diesen Angriffen. Es wird kolportiert, dass man die Mail-App deinstallieren solle, um die Übernahme des Geräts zu verhindern. Klingt gefährlich.

Ist das Ganze aufgebauscht?

Inzwischen deutet sich an, dass die ganze Geschichte nicht so dramatisch wie von den Sicherheitsforschern und dem BSI dargestellt sein kann. Statt die Mail-App zu deinstallieren, sollte es reichen, die betreffenden Mail-Konten in der iOS Mail-App zu deaktivieren. Dann kommen keine Mails mehr automatisch, das iOS-Gerät kann nicht mehr automatisch angegriffen werden.

Von der Sicherheitsfirma Sophos gibt es den Blog-Beitrag iPhone zero day – don’t panic! Here’s what you need to know, der sich mit den Schwachstellen auseinander setzt. Die Botschaft: Ja, es gibt wohl zwei Schwachstellen, wie berichtet, die Speicherüberläufe verursachen können. Das bloße Ansehen oder Öffnen der E-Mails, ohne auf irgendetwas in der E-Mail selbst zu klicken, könnte einen von zwei verschiedenen Abstürzen in der Mail-Anwendung von Apple verursachen. Und ja, die Abstürze werden durch speziell präparierte E-Mail provoziert, die mit ziemlicher Sicherheit nicht zufällig entstanden sind.

Aber es ist kein Grund, in Panik zu verfallen. Nach bisherigen Erkenntnissen ist man laut Sophos weit davon entfernt, dass durch diese E-Mails das iOS-Gerät unbemerkt durch einen Angreifer übernommen werden kann. Die in iOS verwendeten Mechanismen wie ASLR (address space layout randomisation) machen es für einen Angreifer schwierig bis unmöglich, den Speicherüberlauf gezielt auszunutzen, um eigenen Code auszuführen.

Nun berichtet Ars Technica in dem in obigem Tweet verlinkten Artikel, dass Apple den Berichten widerspreche, dass es einen 0-day-Exploit gäbe, über den man ohne Interaktion des Benutzers ein iOS-Gerät per Mail übernehmen könne. Apple lehnte zwar einen Kommentar zum ZecOps-Beitrag ab. Aber inzwischen hat Apple eine Erklärung zu diesem Sachverhalt veröffentlicht:

Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher’s report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users. The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers. These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance.


Anzeige

Apple hat sich den Bericht des Sicherheitsforschers vorgenommen und die Sache überprüft. Auf der Grundlage der zur Verfügung gestellten Informationen sind die Apple-Spezialisten zum Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für Benutzer von iOS-Geräten darstellen.

Laut Apple identifizierte der Forscher drei Probleme in der Mail-App. Aber diese Schwachstellen allein reichen nicht aus, um die Sicherheitsvorkehrungen in iOS für iPhone und iPad zu umgehen. Apple gibt an, dass man auch keine Beweise dafür gefunden habe, dass die Schwachstellen gegen Kunden eingesetzt wurden. Apple schreibt, dass diese potenziellen Probleme werden demnächst in einem Software-Update behandelt würden.


Anzeige


Dieser Beitrag wurde unter iOS, iPad, iPhone, Sicherheit abgelegt und mit iOS, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.