Update - Kritische Sicherheitslücke in Apple Mail App (MobileMail/Maild) für iOS

23. April 2020

Update: 25. Mai 2020

Beschreibung

Das IT-Security Unternehmen ZecOps hat Informationen zu Schwachstellen in der Standard Mail App für Apple iOS (IPhone, IPad etc.) veröffentlicht, für die es noch keine breit verfügbaren Patches gibt. Die Schwachstellen werden zumindest in gezielten Angriffen bereits seit 2018 aktiv ausgenützt.

Auswirkungen

Durch erfolgreiches Ausnützen der Schwachstelle ist es Angreifern prinzipiell möglich, beliebigen Code auf betroffenen Geräten auszuführen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Geräte mit Apple iOS in Versionen 6 bis 13, auf denen die Standard Mail App genutzt wird

Details über die hier relevanten Unterschiede zwischen iOS 12 und 13 sind im Advisory von ZecOps zu finden.

Abhilfe

Update: 25. Mai 2020

Die Sicherheitslücke wurde in iOS 13.5 geschlossen. CERT.at empfiehlt, die Aktualisierung so schnell wie möglich einzuspielen.

Einspielen entsprechender Patches, sobald verfügbar.

Bis dahin empfehlen wir, auf alternative Mail Apps bzw. Webmail auszuweichen:

  • löschen der Apple Mail App
    • eventuell reicht auch eine Sperre via MDM oder Parental Controls, wir haben diese Methode aber nicht verifiziert
  • auf eine andere Email App (zB Microsoft Outlook für iOS) oder Webmail (für Apple Email-Accounts via https://icloud.com/ verfügbar) ausweichen

Speziell BenutzerInnen in Firmen- und Behörden-Umfeldern raten wir, wenn sie verdächtige "leere" Mails in der Standard iOS Mail App gesehen haben, mit ihren IT-Security Verantwortlichen Kontakt aufzunehmen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen,
parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


 

Informationsquelle(n):


Advisory von ZecOps (englisch)
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

Artikel bei heise.de
https://heise.de/-4707901