Forscher decken schwerwiegende Sicherheitslücken in Mail für iOS auf

Forscher des Cybersicherheitsanbieters ZecOps warnen vor Angriffen auf ungepatchte Sicherheitslücken in Apples Mobilbetriebssystem iOS. Apple untersucht die Vorfälle und bereitet ein Update vor, das die Anfälligkeiten beseitigen soll.

Offenbar nutzen Hacker schon seit mindestens Januar 2018 Fehler in iOS für gezielte Angriffe auf Nutzer. Dabei kommen speziell gestaltete E-Mails zum Einsatz, die es erlauben, unter Umständen sogar ohne jegliche Interaktion mit einem Nutzer Schadcode einzuschleusen und auszuführen. Die Angriffe funktionieren allerdings nur, wenn diese Nachrichten mit Apples Mail-App geöffnet werden. Andere E-Mail-Anwendungen wie Gmail sind den Forschern zufolge nicht betroffen.

„Die Schwachstelle erlaubt es, aus der Ferne Code im Kontext von MobileMail (iOS 12) oder maild (iOS 13) auszuführen“, teilte ZecOps mit. „Die erfolgreiche Ausnutzung dieser Schwachstelle würde es dem Angreifer ermöglichen, E-Mails durchsickern zu lassen, zu verändern und zu löschen.“

Allerdings sind die zugrundeliegenden Bugs nicht geeignet, die vollständige Kontrolle über ein iOS-Gerät zu erhalten. Außerdem sollen die Angriffe nur möglich sein, wenn die Mail-Lücken mit einer Anfälligkeit im iOS-Kernel kombiniert werden. „Wir vermuten, dass diese Angreifer eine weitere Schwachstelle zur Verfügung hatten. Diese wird derzeit untersucht“, ergänzten die Forscher.

Betroffen sind alle iOS-Version bis iOS 13.4.1. Erstmals ausgenutzt wurden die Fehler in iOS 11.2.2, möglicherweise aber auch schon früher. Denn anfällig sind wohl alle Versionen ab iOS 6, das im Jahr 2012 veröffentlicht wurde. Ob noch ältere Versionen angreifbar sind, haben die Forscher nach eigenen Angaben nicht geprüft.

Auslöser ist demnach eine fehlerhafte Implementierung einer MIME-Bibliothek, die über keine Fehlerkontrolle verfügt. Mindestens ein Fehler kann aus der Ferne angesprochen werden, während die Mail-App eine Nachricht verarbeitet. Die Forscher sprechen in dem Zusammenhang von einem Zero-Click-Szenario – ein Nutzer muss die manipulierte E-Mail nicht einmal anklicken – schon beim Empfang der Nachricht wird das Gerät erfolgreich kompromittiert.

„Abgesehen von einer vorübergehenden Verlangsamung der mobilen Mail-Anwendung sollten Benutzer kein anderes anomales Verhalten beobachten“, beschreiben die Forscher einen Angriff. Auch ein gescheiterter Angriff hinterlasse unter iOS 13 keine Spuren. Unter iOS führe ein erfolgreicher und auch ein erfolgloser Angriff jedoch zu einem Absturz der Mail-App.

Eingesetzt wurden die Schwachstellen laut ZecOps bisher unter anderem gegen Mitarbeiter eine Fortune-500-Unternehmen in Nordamerika, einen hochrangigen Manager eines japanischen Mobilfunkanbieters, einen Prominenten aus Deutschland sowie einen europäischen Journalisten. Zudem besteht der Verdacht, dass ein leitender Manager eines Schweizer Unternehmens angegriffen wurde.

Zu den möglichen Hintermännern machte ZecOps keine Angaben. Das Unternehmen vermutet als Täter eine bestimmte Gruppe, die mit Unterstützung eines Nationalstaats agieren soll.

Erstmals informierte ZecOps Apple am 19. Februar über das Problem. Einen zusammen mit den Forschern entwickelten Patch veröffentlichte Apple am 15. April mit iOS 13.4.5 Beta.

Anfang der Woche fanden die Forscher jedoch Hinweise auf neue Angriffe. Daraufhin entschloss sich ZecOps gestern, seinen Bericht zu veröffentlichen, um iOS-Nutzer auf das Problem hinzuweisen. Die Forscher empfehlen betroffenen, bis zur Veröffentlichung der finalen Version von iOS 13.4.5 die Mail-App von Apple nicht zu benutzen. Allerdings reicht es nicht, die Mail-App nicht mehr zu öffnen – der E-Mail-Empfang muss deaktiviert werden. Als Alternativen schlägt ZecOps Anwendungen wie Gmail oder Outlook vor.