• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

Grosse Sicherheitslücke beim iOS iPhone und iPad E-Mail Programm.

WalterB
Super User
1 von 14

Momentan wird erwähnt das schon sehr lange eine Sicherheitslücke beim iOS vorhanden ist und Apple diese noch nicht geschlossen hat.

 

https://www.watson.ch/!674611052?utm_medium=social-user&utm_source=social_app 

Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
WalterB
Super User
14 von 14

In der Zwischenzeit ist das iOS 13.5 erschienen und somit sollte der Fehler behoben sein. 

Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
13 Kommentare 13
cslu
Level 6
2 von 14

Ja, habe ich heute Nachmittag bei Heise oder Golem oder so auch gelesen.

 

Ein Exploit durch eine "präparierte" Mail, wobei der User in der Mail nichts öffnen/klicken muss, ja (zumindest unter iOS 13), noch nicht einmal die Mail öffnen...

 

Noch gröber kann ein Security-Totalschaden in einer Mail-App eigentlich kaum werden.

 

(Gut, um die volle Kontrolle zu erlangen braucht man noch einen anderen Exploit zur Rechteausweitung. Aber die sollen ja bei iOS nicht allzu knapp sein.)

Jüre
Super User
3 von 14

IMG_1063.PNG

 

😉

#userID63 und Jüre aka Herby 😉
#userID63 und Jüre aka Herby ;-)
Tomcat
Level 6
4 von 14

In der aktuellen Beta 13.4.5 ist sie angeblich bereits geschlossen, wie bei ZecOps zu lesen ist:

 

 

 

https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

 

Abhilfe dürfte also demnächst bereit stehen.

Der Apfel fällt nicht weit vom Birnbaum 😉
Der Apfel fällt nicht weit vom Birnbaum ;-)
cslu
Level 6
5 von 14

@Tomcat  schrieb:

 

Abhilfe dürfte also demnächst bereit stehen.


 

Klar, jetzt wo "die Katze aus dem Sack" ist, muss gezwungenermassen schnell reagiert werden.

 

Unschön ist allerdings, dass der Bug offenbar seit 2012 (!) in der Software steckt und mindestens seit 2018 aktiv ausgenutzt wird.

 

Wenn eine Lücke von diesem Schweregrad nun nicht mehr nur gezielt genutzt würde, sondern breit gestreut von irgendwelchen "handelsüblichen" Cyberkriminellen, dann hat das natürlich riesiges Schadenspotential im iOS-Universum.

WalterB
Super User
6 von 14

Der grösste Teil der Anwender wird sicher keine Beta Version installieren und das sind normale Anwender.

Da werden die Android Benutzer Schadenfreudig sein.

 

https://beta.apple.com/sp/de/betaprogram/ 

Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Editiert
Cruncher
Super User
7 von 14

Ich denke mal, dass nächste Woche eh 13.4.2 released wird mit einem Bugfix für VPN. Ich denke der Mail Exploit und das Problem mit dem Schriftzeichen wird dort auch drin sein. Oder vielleicht überraschen sie uns mit einem Vorzeitigen realease von 13.4.5 was ich aber aufgrund der Buildnummer der aktuellen Beta nicht denke. 

 

Klar ist es schade, dass diese schon seit 2012 besteht, aber wenn das niemand gemeldet hatte konnte die Lücke ja auch nicht gepatcht werden. 

 

 

cslu
Level 6
8 von 14

@Cruncher  schrieb:

Klar ist es schade, dass diese schon seit 2012 besteht, aber wenn das niemand gemeldet hatte konnte die Lücke ja auch nicht gepatcht werden. 


 

Naja, eine solche No-Click-Vulnerability in Mail App von iOS dürfte auf dem Schwarzmarkt schätzungsweise einige Millionen wert sein.

Wer sowas findet, der überlegt sich zweimal ob er das bei Apple meldet oder von irgend einem Geheimdienst die Millionen einstreicht. (Zumal Apples Bug-Bounty Programm ja erst seit wenigen Monaten für die Allgemeinheit zugänglich ist. D.h. wenn einer die Lücke vor ein paar Jahren gefunden hat, durfte er wohl nichtmal darauf hoffen, von Apple für die Meldung entlöhnt zu werden.)

 

Da der Bug ja offenbar seit Jahren "gezielt" genutzt wird, kann man wohl davon ausgehen, dass er seinerzeit von irgend einer Finanzkräftigen Institution (eben z.B. Geheimdienst) gekauft wurde die damit jetzt ein paar Jährchen unbehelligt Ermittelungen, Industriespionage etc. betrieben haben.

 

Nachdem er nun öffentlich ist werden wohl rasch ganz viele "Trittbrettfahrer" auf den Zug aufspringen um bis zur Verfügbarkeit des Updates (und danach halt noch bei jenen, die nicht geupdated sind) noch möglichst auf breiter Ebene Kasse zu machen.

Cruncher
Super User
9 von 14

Ja klar, die werden sehr hoch gehandelt in der Szene. Deshalbt ist ein schnelles Handeln seitens Apple sicher Pflicht.

 

Normalerweise ist es aber normalerweise so, dass die Lücke dem Hersteller gemeldet wird und dieser dann 90 Tage oder so (kenne die genaue Dauer nicht auswendig) um die Lücke zu patchen. Und erst dann wird die Lücke veröffentlicht. Hier ist es anders gelaufen was leider auch nicht optimal ist.

 

Bin gespannt wann dies gepatcht wird. Appkle sieht die Lücke ja gemäss ihrem Statement nicht so als kritisch für den Normalnutzer.

WalterB
Super User
10 von 14

Man hat das Gefühl das Anwender welche Apple ohne Fehler sehen das ganze in den Hintergrund schieben.

Selber verwende ich ja auch Apple Geräte , aber es gibt praktisch kein Betriebsystem das Fehlerlos ist.

Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
cslu
Level 6
11 von 14

@Cruncher  schrieb:

Normalerweise ist es aber normalerweise so, dass die Lücke dem Hersteller gemeldet wird und dieser dann 90 Tage oder so (kenne die genaue Dauer nicht auswendig) um die Lücke zu patchen. Und erst dann wird die Lücke veröffentlicht. Hier ist es anders gelaufen was leider auch nicht optimal ist.


Das stimmt nicht. Die Gruppierung welche die Lücke vor wenigen Tagen öffentlich gemacht hat, hat diese vor über zwei Monaten an Apple gemeldet. Apple (deren Sicherheitskultur bekanntlich irgendwo zwischen Verleugnung und "yolo" pendelt) hat es offenbar einfach nicht für notwendig gehalten, innerhalb von zwei Monaten den Patch auszurollen.

 

Im Übrigen hat Apple die Lücke selber "publik" gemacht, indem sie in der aktuellen Beta-Version ja den Patch drin haben. Sobald der Hersteller etwas patcht, können die "Bösewichter" anhand des Patches versuchen herauszufinden, wo das Problem lag.

 

Was @WalterB schreibt stimmt schon: Der Unverwundbarkeits-Irrglaube der Apple-User ist mittlerweile vermutlich selber ein echtes Sicherheitsproblem, weil er dazu führt, dass sich diese Klientel nicht mit der Thematik auseinandersetzt bzw. diese unterschätzt. Und Apple fördert diesen Irrglauben ja auch noch aktiv.

Lori-77
Super User
12 von 14

Hallo Zusammen

 

Das wird nicht der letzte Bug von Apple sein.......

 

Tja ein Update ist versprochen...... Aber höchstwahrscheinlich nur für die neueren Geräte. 

 

Und was ist mit all den älteren Apple Geräten, die werden die Lücke weiter in sich tragen. Da ja der Endanwender sagt es läuft ja noch warum soll ich bloss ein Update machen oder das Gerät ersetzten.

 

 

Später wird wieder hier geklagt, das der Internet Zugang oder sonst was gesperrt wird, oder die Geräte machen was sie wollen. 

 

Auch ja Android ist höchstwahrscheinlich auch nicht besser mit den Lücken, ob aber Dr. Google so viel Zeit lässt bis die Lücke geschlossen ist, ist fraglich.

 

 

Und wieviele Lücke kennt der Geheimdienst, welche Sie denn Hersteller nicht melden?

 

Gruss Lorenz

Cruncher
Super User
13 von 14

@cslu ah ok. Wusste ich nicht. Hätte wohl direkt bei der Quelle lesen sollen. Bei allen Artikeln welche ich drüber gelesen habe hiess es nur, dass sie das jetzt gerade veröffentlicht haben. Wusste nicht, dass es bereits 2 Monate vorher dem Hersteller gemeldet wurde. So sollte es ja auch sein. Schade haben sie mal wieder nicht reagiert.

 

Der Unverwundbarkeits-Irrglaube kommt halt noch von früher wo alle immer gesagt haben OS X sei sicher was aber eigentlich nie gestimmt hat. Es hat sich für die "paar User" nur niemand die Mühe gemacht.

WalterB
Super User
14 von 14

In der Zwischenzeit ist das iOS 13.5 erschienen und somit sollte der Fehler behoben sein. 

Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Nach oben