iOS 7 speichert E-Mail-Anhänge trotz aktivierter Verschlüsselung im Klartext

Davon betroffen sind angeblich Geräte mit iOS 7.1.1 und früher. Die Lücke hat der deutsche Sicherheitsforscher Andreas Kurtz entdeckt. Apple hat den Fehler inzwischen bestätigt und einen Fix angekündigt.

Der deutsche Sicherheitsforscher Andreas Kurtz hat einen Fehler in der in iOS 7 enthaltenen E-Mail-Anwendung entdeckt. Sie ist unter bestimmten Umständen trotz aktivierter Datenschutzfunktion nicht in der Lage, Dateianhänge zu verschlüsseln. Apple hat die Sicherheitslücke inzwischen bestätigt.

ios7-logo

Kurtz hat nach eigenen Angaben schon vor Wochen auf einem iPhone 4 mit der zu dem Zeitpunkt aktuellsten Version von iOS 7 unverschlüsselte E-Mail-Anhänge gefunden. Den Fehler konnte er unter iOS 7.0.4 auf auch einem iPhone 5S sowie einem iPad 2 reproduzieren. Demnach ist es unter anderem im Modus für die Aktualisierung der Gerätesoftware möglich, auf das Dateisystem eines iPhone oder iPad zuzugreifen und die unverschlüsselten Anhänge zu lesen.

Er habe darauf hin Apple kontaktiert, das ihm bestätigt habe, es handele sich um ein bekanntes Problem, schreibt Kurtz in seinem Blog. Apple habe ihm aber keinen Zeitplan für die Veröffentlichung eines Patches genannt.

„Angesichts der langen Zeit, die iOS 7 schon verfügbar ist, und der Vertraulichkeit von E-Mail-Anhängen, die viele Unternehmen auf ihren Geräten speichern (und sich dabei auf die Datenschutzfunktion verlassen), hatte ich mit einem kurzfristigen Patch gerechnet“, heißt es weiter in dem Blogeintrag. Leider habe aber nicht einmal das Ende April veröffentlichte Update auf iOS 7.1.1 das Problem behoben.

Ein Apple-Sprecher teilte dazu mit, die Anfälligkeit sei bekannt und man arbeite an einem Fix. Er werde zusammen mit einem künftigen Software-Update zur Verfügung gestellt.

Die Sicherheitsforscher Adam Engst und Richard Mogull weisen indes darauf hin, dass ein Angreifer direkten Zugriff auf ein iOS-Gerät haben müsste, um die Schwachstelle ausnutzen zu können. Zudem müsste er das Passwort kennen, da die Datenschutzfunktion nur aktiv ist, wenn eine Codesperre eingerichtet wurde. Alternativ könne er auch einen Jailbreak einsetzen, der ohne Passwort funktioniert.

„Unklar ist, wie er den Fehler auf einem iPhone 5S und iPad 2 mit iOS 7.0.4 reproduzieren konnte, da jüngere Geräte mit iOS 7 nicht anfällig für einen Jailbreak ohne Passwort sind“, so die beiden Forscher. Sie vermuten, dass Kurtz das iPhone 5S und das iPad 2 per Jailbreak freigeschaltet hat, was Apples Schutzfunktionen reduziert.

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

Noch keine Kommentare zu iOS 7 speichert E-Mail-Anhänge trotz aktivierter Verschlüsselung im Klartext

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *