Der deutsche Sicherheitsforscher Andreas Kurtz hat einen Fehler in der in iOS 7 enthaltenen E-Mail-Anwendung entdeckt. Sie ist unter bestimmten Umständen trotz aktivierter Datenschutzfunktion nicht in der Lage, Dateianhänge zu verschlüsseln. Apple hat die Sicherheitslücke inzwischen bestätigt.
Kurtz hat nach eigenen Angaben schon vor Wochen auf einem iPhone 4 mit der zu dem Zeitpunkt aktuellsten Version von iOS 7 unverschlüsselte E-Mail-Anhänge gefunden. Den Fehler konnte er unter iOS 7.0.4 auf auch einem iPhone 5S sowie einem iPad 2 reproduzieren. Demnach ist es unter anderem im Modus für die Aktualisierung der Gerätesoftware möglich, auf das Dateisystem eines iPhone oder iPad zuzugreifen und die unverschlüsselten Anhänge zu lesen.
Er habe darauf hin Apple kontaktiert, das ihm bestätigt habe, es handele sich um ein bekanntes Problem, schreibt Kurtz in seinem Blog. Apple habe ihm aber keinen Zeitplan für die Veröffentlichung eines Patches genannt.
„Angesichts der langen Zeit, die iOS 7 schon verfügbar ist, und der Vertraulichkeit von E-Mail-Anhängen, die viele Unternehmen auf ihren Geräten speichern (und sich dabei auf die Datenschutzfunktion verlassen), hatte ich mit einem kurzfristigen Patch gerechnet“, heißt es weiter in dem Blogeintrag. Leider habe aber nicht einmal das Ende April veröffentlichte Update auf iOS 7.1.1 das Problem behoben.
Ein Apple-Sprecher teilte dazu mit, die Anfälligkeit sei bekannt und man arbeite an einem Fix. Er werde zusammen mit einem künftigen Software-Update zur Verfügung gestellt.
Die Sicherheitsforscher Adam Engst und Richard Mogull weisen indes darauf hin, dass ein Angreifer direkten Zugriff auf ein iOS-Gerät haben müsste, um die Schwachstelle ausnutzen zu können. Zudem müsste er das Passwort kennen, da die Datenschutzfunktion nur aktiv ist, wenn eine Codesperre eingerichtet wurde. Alternativ könne er auch einen Jailbreak einsetzen, der ohne Passwort funktioniert.
„Unklar ist, wie er den Fehler auf einem iPhone 5S und iPad 2 mit iOS 7.0.4 reproduzieren konnte, da jüngere Geräte mit iOS 7 nicht anfällig für einen Jailbreak ohne Passwort sind“, so die beiden Forscher. Sie vermuten, dass Kurtz das iPhone 5S und das iPad 2 per Jailbreak freigeschaltet hat, was Apples Schutzfunktionen reduziert.
[mit Material von Steven Musil, News.com]
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
