Categories: Alerts

Kritische Sicherheitslücke in myMail-Client für iOS

Die Sicherheitsexperten von mailbox.org wurden auf die Sicherheitslücke aufmerksam, nachdem Kundenim User-Forum von mailbox.org auf Übertragungsfehler beim Versenden von E-Mails über den myMail-Client hingewiesen haben. Nach einer gründlichen Untersuchung der Logs stellte das Team fest, dass die myMail-App versucht, Passwörter ohne die sonst vorgeschriebene TLS-Verschlüsselung ungesichert zu übertragen, was ein enormes Sicherheitsrisiko darstellt. Das Team war damit auch in der Lage, in den Verbindungen Nutzerpasswörter zu extrahieren.

Laut Peer Heinlein, Geschäftsführer von mailbox.org, lehnen ihre Server unverschlüsselte Verbindungen grundsätzlich ab, um die Nutzersicherheit zu gewährleisten. Nur aus diesem Grunde scheiterten die fehlerhaften Verbindungsversuche der myMail-App, so dass Nutzer und Postmaster von mailbox.org stutzig wurden.

Das Problem ist nicht nur für Kunden von mailbox.org relevant: Es stellt auch ein generelles Sicherheitsrisiko für alle Nutzer dar, die den myMail-Client verwenden. Sofern andere Provider unverschlüsselte Verbindungen erlauben und die myMail-App weiterhin funktioniert, könnten Dritte in diesen Fällen Passwörter abgreifen oder den Inhalt der ebenso unverschlüsselten E-Mails mitlesen, wenn diese über den myMail-Client versendet werden, insbesondere wenn Nutzer sich in einem offenen Netzwerk befinden.

Das Team von mailbox.org empfiehlt dringend, den myMail-Client in Verbindung mit ihrem Dienst oder anderen E-Mail-Providern vorerst nicht mehr zu verwenden, bis die Sicherheitsprobleme behoben wurden. Es gibt zahlreiche alternative E-Mail-Clients, die höhere Sicherheitsstandards bieten und die Privatsphäre von Nutzer:innen besser schützen. Gleichzeitig zeige der aktuelle Vorfall einmal mehr, wie wichtig es ist, ausschließlich über sicher konfigurierte und Verschlüsselung erzwingende Systeme zu kommunizieren.

Roger Homrich

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

4 Tagen ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

4 Tagen ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

4 Tagen ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

4 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

4 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

4 Tagen ago