iOS 7 speichert E-Mail-Anhänge trotz aktivierter Verschlüsselung im Klartext

Der deutsche Sicherheitsforscher Andreas Kurtz hat einen Fehler in der in iOS 7 enthaltenen E-Mail-Anwendung entdeckt. Sie ist unter bestimmten Umständen trotz aktivierter Datenschutzfunktion nicht in der Lage, Dateianhänge zu verschlüsseln. Apple hat die Sicherheitslücke inzwischen bestätigt.

Kurtz hat nach eigenen Angaben schon vor Wochen auf einem iPhone 4 mit der zu dem Zeitpunkt aktuellsten Version von iOS 7 unverschlüsselte E-Mail-Anhänge gefunden. Den Fehler konnte er unter iOS 7.0.4 auf auch einem iPhone 5S sowie einem iPad 2 reproduzieren. Demnach ist es unter anderem im Modus für die Aktualisierung der Gerätesoftware möglich, auf das Dateisystem eines iPhone oder iPad zuzugreifen und die unverschlüsselten Anhänge zu lesen.

Er habe darauf hin Apple kontaktiert, das ihm bestätigt habe, es handele sich um ein bekanntes Problem, schreibt Kurtz in seinem Blog. Apple habe ihm aber keinen Zeitplan für die Veröffentlichung eines Patches genannt.

„Angesichts der langen Zeit, die iOS 7 schon verfügbar ist, und der Vertraulichkeit von E-Mail-Anhängen, die viele Unternehmen auf ihren Geräten speichern (und sich dabei auf die Datenschutzfunktion verlassen), hatte ich mit einem kurzfristigen Patch gerechnet“, heißt es weiter in dem Blogeintrag. Leider habe aber nicht einmal das Ende April veröffentlichte Update auf iOS 7.1.1 das Problem behoben.

Ein Apple-Sprecher teilte dazu mit, die Anfälligkeit sei bekannt und man arbeite an einem Fix. Er werde zusammen mit einem künftigen Software-Update zur Verfügung gestellt.

Die Sicherheitsforscher Adam Engst und Richard Mogull weisen indes darauf hin, dass ein Angreifer direkten Zugriff auf ein iOS-Gerät haben müsste, um die Schwachstelle ausnutzen zu können. Zudem müsste er das Passwort kennen, da die Datenschutzfunktion nur aktiv ist, wenn eine Codesperre eingerichtet wurde. Alternativ könne er auch einen Jailbreak einsetzen, der ohne Passwort funktioniert.

„Unklar ist, wie er den Fehler auf einem iPhone 5S und iPad 2 mit iOS 7.0.4 reproduzieren konnte, da jüngere Geräte mit iOS 7 nicht anfällig für einen Jailbreak ohne Passwort sind“, so die beiden Forscher. Sie vermuten, dass Kurtz das iPhone 5S und das iPad 2 per Jailbreak freigeschaltet hat, was Apples Schutzfunktionen reduziert.

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.