Bundesamt warnt vor der Mail-App
Apples iOS-Mail-Schwachstelle: Hoffen auf ein schnelles Update
Wir haben gestern bereits über die in der Mail-App auf dem iPhone und dem iPad vorhandene Schwachstelle informiert. Die Berichterstattung in Nachrichtensendungen und eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) verunsichern derzeit viele Nutzer.
Immerhin scheint es so, als werde die Sicherheitslücke derzeit nicht in großem Stil ausgenutzt, sondern lediglich für gezielte Angriffe auf ausgewählte Personen verwendet. Wer auf Nummer Sicher gehen will, lässt aber besser die Finger von der Mail-App auf iPhone und iPad, bis Apple die zeitnah versprochene Fehlerbehebung ausliefert.
Apple Mail: BSI warnt vor Benutzung
Die iOS-App "Mail" ist auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich sind, ist Gegenstand weiterer Prüfungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Für die insgesamt zwei Schwachstellen stehen bislang keine Patches zur Verfügung. Medienberichten zufolge werden die Schwachstellen bereits aktiv ausgenutzt. So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App "Mail" unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren.
-Bundesamt für Sicherheit in der Informationstechnik
Wenn man der Empfehlung des BSI folgen will, kann man den Mail-Abruf auf einzelnen Geräten über die Einstellungen „Passwörter & Accounts“ temporär deaktivieren und stattdessen per Webmail auf seine Konten zugreifen. Der Abruf von iCloud-Mails per Browser ist allerdings auf dem iPhone nicht möglich, das funktioniert nur auf dem iPad und dem Computer. Eine von Apple vorgegebene Einschränkung mit leider negativem Einfluss.
Mit Drittanbieter-Alternativen kommen neue Gefahren
Falls ihr euch für die E-Mail-App von einem Drittanbieter entscheidet, solltet ihr hier sorgfältig auswählen. Etliche dieser Anwendungen bietet Zusatzdienste wie erweiterte Push-Mitteilungen und automatische Sortierung an, für diese ihr allerdings eure Kontendaten an den Betreiber übermitteln und dieser teils auch eure E-Mails auf seinen Servern zwischenspeichert. Auch wenn niemand gerne darüber redet: Hier tut sich ein neues Sicherheitsrisiko auf.
Wir wollen die aktuelle Mail-Schwachstelle keinesfalls verharmlosen, doch scheint uns aktuell noch der sinnvollste Weg, auszuharren und auf eine schnelle Reaktion seitens Apple zu hoffen. Soweit bislang bekannt ist, wird die Schwachstelle war schon aktiv ausgenutzt, jedoch in kleinem Rahmen und gezielt gegen ausgewählte Personen des öffentlichen Lebens gerichtet.
Apple muss sich in diesem Zusammenhang allerdings Kritik gefallen lassen. Einmal mehr merken Sicherheitsforscher an, dass iOS als geschlossenes System Personen außerhalb von Apple nur marginale Möglichkeiten für Sicherheitsüberprüfungen bietet. Die von Apple stets plakativ beworbene Sicherheit seiner Geräte liegt allein in der Hand des Herstellers – die in letzter Zeit bekannt gewordenen und teils über Jahre hinweg existierenden Sicherheitslücken stellen diesem Monopol nachvollziehbar in Frage.
Welche Mail Alternative könnt ihr empfehlen?
Ich nutze Spark
Ebenfalls bei Spark und äußerst zufrieden
Das ist genau die falsche Alternative – Readdle gibt mit seinen Apps sämtliche deiner Daten an Facebook weiter. Lies dir mal die Richtlinien von denen durch. Ich hatte früher sämtliche Apps von Readdle (Spark, Calendar5, PDF, Documents) hab alles entfern.
LG, Thomas
… ob ein Unternehmen aus der Ukraine wohl besseren Datenschutz bietet?
Welche Alternative aus der Ukraine?
Bei Apps die sonst was für einen Funktionsumfang versprechen, aber kein Geld kosten werde ich eh immer hellhörig, irgendwie muss das ja finanziert werden. Wenn man vom Kunden keine Gegenleistung in Geld verlangt, dann meistens in Daten.
Danke Thomas für den Tip !
HappyGeoCacher: Was soll dieser naive und schwachsinnige Vergleich? Ich bin kein Ukrainer aber glaubst Du wir Europäer sind da besser? Ist Dir entgangen, dass die „Mutti“ damals die Affäre mit der NSA einfach so fallen gelassen hat? Nur weil darüber keiner redet heißt das ja nicht, dass wir sicher sind? NSA bespitzelt uns immer noch und es ist auch kein Geheimnis mehr, aber keiner redet darüber.
Mann, ich kann mich da echt aufregen. Denkt doch nicht immer alles so negativ von allem, was uns fremd ist!
@Tanja: Kann es sein, dass du dich über eine offene Frage aufgeregt hast und sie aus Deiner Sicht beantwortet hast?
@Thomas
Welchen Kalender empfiehlst du dann?
@Mike, hab den Kalender 366 oder eben Apple Kalender.
Die Ukraine liegt auch vollständig in Europa…
Datenschutztechnisch gibt es für iOS echt keine Alternative.
Zumindest keine, die ohne irgendwelchen Schnickschnack daherkommt und bestenfalls noch eine schöne UI/UX hat.
Im Apple Universum gibt es leider keine sichere Alternative mit Push nachrichten, in der man nicht sein Passwort an einen dritten weitergeben muss.
Leider funktioniert die Apple Sicherheit halt nur, wenn man im Apple Gefängnis bleibt.
Welche Mail App kann denn empfohlen werden die die Mails nicht noch mal über die eigenen Server Routet? Danke!
Wenn du nicht auf push notifications angewiesen bist, fast alle. Bei Push notifications laufen die Mails zwangsläufig über deren Server.
Wie ist das bei Gmail? Da werden die Mails auch nur alle 15 Minuten je nach Einstellung abgerufen wie bei der Apple Mail App?
Welche App konkret kannst Du empfehlen?
Liegt bei Apple sicher auf dem selben Stapel wie das Airpod Pro Update. Viele haben da weiterhin quasi jetzt schon die Airpods Pro Light…
Das E-Mails auf fremden Servern zwischengespeichert werden ist glaube ich Voraussetzung dafür, dass Push-Nachrichten funktionieren oder? iOS kann ja kein Push bei iMAP-Abfragen. Lächerlich geizig von Apple da keine Lösung zu finden, nur weil jemand da Patente hat.
Also Push in Verbindung mit einem Outlook Konto funktioniert völlig problemlos.
Weil das Outlook-Konto kein IMAP verwendet, sondern das MS-Exchange-Protokoll.
Also wenn das seit iOS6 Sicherheitslücken gibt, könnt man es ruhig weiter nutzen.
Nach sovielen Jahren macht es den Kohl auch nicht mehr fett.
Dacht ich mir auch.
Wenn man aber mal etwas weiter denkt, ist die Sache nur die, dass es jetzt öffentlich ist kommen da sicher einige Hacker jetzt drauf das auszunutzen.
Deswegen ist die Warnung auf jeden Fall gerechtfertigt.
Das System für dritte Sicherheits Apps zu öffnen würde die Sache eher schlimmer als besser machen. Generell gibt es jakeines ohne Fehler.
1+.
Das versteht aber niemand.
Sicher ist es nicht schön das solch ein Fehler so lange unbemerkt geblieben ist, aber sicherere Alternativen gibt es leider auch nicht.
Naja dann kann halt jemand von „Doris, 18, aus deiner Nähe will heute noch fi…!“ Lesen :D
Niemand will das System für „Sicherheits-Apps“ öffnen, wo liest du das. Es geht darum, ähnlich wie bei Open Source nach dem Prinzip mehr Augen sehen mehr zu verfahren.
aber ein große Kommune kann viel mehr abprüfen, als ein reines Wirtschaftsunternehmen! Das ist ja genau die Stärke von SIGNAL als Messenger! Offener Source Code der weltweit verifiziert wird und auf Lücken überprüft wird, was ihn dann letztlich wieder sicherer macht!
Einmal mehr wird deutlich, dass Apple seine mitgelieferten Apps endlich mal separat über den AppStore aktualisieren sollte!
Dann muss man nicht immer erst ein iOS-Update bauen, was mehr Aufwand und Tests und damit auch Zeit erfordert.
Sehe ich auch so!
Teile ich zu 100%
Eine Frage der man sich auch hier im Blog noch mal widmen sollte!
So wie z.B. Pages, Number und Keynote.
Das müsste aber doch schon längst möglich sein. Die Mail App kann ich ja löschen und aus dem App Store neu laden.
Die App wird nicht gelöscht, sondern nur ausgeblendet.
Mal gucken wie lange sie brauchen, bis sie das verstehen und Ihre Prozesse ändern…
Word! Mein Reden auch seit langem. Hoffen auf iOS 14…. ;)
Excel! Damit rechne ich auch ;)
Die Frage ist ob so eine App nicht derart am System integriert ist, dass ein App Update alleine nicht ausreicht und trotzdem am iOS was angepasst werden muss
Genau das dachte ich mir auch
Klingt vielleicht nach Verschwörung, aber stellt euch mal vor: es wird eine Sicherheitslücke vorgeschoben, um das nächste Update für alle Nutzer wichtig zu machen. Dieses Update enthält allerdings schon die kommende Corona Funktionalität, welche somit nicht mehr freiwillig installiert werden kann. Seltsam, dass so eine Sicherheitslücke gerade jetzt auftaucht und das BSI sogar davor warnt!
Richtig Dennis, das klingt nach Verschwörungstheorie.
Die Lücke existiert schon seit Monaten. Wenn ich so ein Quatsch lese mit diesen Verschwörungstheorien. Das eine hat mit dem anderen 0,0 zu tun.
Richtig, genau nach Verschwörungstheorie klingt das ;)
Seltsam, dass ein Mangel an Aluminiumfolie im Einzelhandel gerade jetzt auftaucht.
Steinigt ihn!
Zufälle gibt’s …
Wenn sich Menschen in der Vergangenheit etwas nicht vorstellen konnten, weil ihnen Wissen, Erfahrung und Denkvermögen fehlten, erklärten sie sich das Unbekannte und Unmögliche mit Göttern oder deren Willen. Wer nach anderen Erklärungen suchte, wurde als Ungläubiger gebrandmarkt und verfolgt.
Heute sind die Menschen weiter. Götter haben weitestgehend ausgedient bzw. wurden von Parteien, Medien, Firmen oder Personen ersetzt, welche eine alleingültige Wahrheit verkünden. Wer diese Wahrheit hinterfragt, wird von Kleingeistern als Aluhut-Träger stigmatisiert.
Wenn dann viel später die geschichtliche Aufarbeitung vergangener Wahrheiten erfolgt, ertönt der erlösende und reinigende Satz: „Das haben wir nicht gewusst!“
Und nur weil Du Dir etwas vorstellen kannst, ist es noch lange nicht wahr. Außer der zeitlichen Korrelation gibt es keine Indizien, die die o.g. Theorie stützen, im Gegenteil, die Schwachstelle existiert schon viele Jahre und wurde jetzt nicht konstruiert, um ein Update zu rechtfertigen.
Ich teile nicht unbedingt o.g. Idee und erachte deinen Beitrag als sachlich. Ich kann mir einiges vorstellen und bin immer bereit meine Meinung zu revidieren. Was ich jedoch nie mache, ist jemanden wegen seiner gegensätzlichen Ansicht zu verhöhnen oder zu verunglimpfen.
Bloß weil man sich etwas nicht vorstellen kann, muss es noch lange nicht unwahr sein.
Ich denke mal es wird nicht lange auf sich warten lassen bis Apple nach bessert, da waren sie bisher immer vorbildlich
das ist der wirst case derzeit, bei uns sind in der Firma alle Apple Geräte gestern von der Mail App „zwangsbefreit“ worden. falls noch nicht passiert, ist die Nutzung verboten worden, geht bis zur Stilllegung der Geräte.
Selbiges hatten wir vor ein paar Jahren mit Outlook, da bei uns auf Windows gesetzt wird. Da gab es erhebliche Probleme und ein großer Aufwand wurde betrieben, IT Spezialisten Sonntags in den Filialen, 1000 Seiten Anleitung für die Umstellung des Dienstphones (iPhone).
Aber was es genau war, weiß ich nicht.
Aber trifft es Apple, dann ist dies überall in der Presse. Liegt sicherlich auch daran, wenn Apple mit seiner Sicherheit und Datenschutz explizit wirbt.
Hoffen wir, es wird schnell gefixt.
In 13.4.5 ist der Fehler ja behoben, deshalb habe ich zum ersten Mal seit Ewigkeiten wieder eine Beta aufgespielt.
Hallo Benne, kannst du die Beta empfehlen, gibts Auffälligkeiten nach draufspielen der Beta?
Danke, LG Thomas
Wer Bedenken hat, kann ja die Beta 13.4.5 installieren, die die Sicherheitslücke schließt.
Top Titelbild :-)
Nutzt jemand Outlook für iCloud und 3-4 andere Accounts? Apple Mail ist bei mir leider seit iOS 13 sowieso sehr unzuverlässig sodass ich sowieso wechseln wollte. Hatte überlegt – so absurd es ist – zu Microsoft zu wechseln..
Mein Haupt iOS Mail Problem: Eine Mail kommt man – man sieht dass sie empfangen wird – aber die Ansicht aktualisiert sich nicht ohne raus aus der Inbox und wieder rein.
@Dennis: habe ich mir auch gedacht. Seltsam ist es auf jedenfall. Sollte es sich doch irgendwann mal so rausstellen, dann wird an solche Kommentare wir von dir nicht mehr gedacht. Dann werden diejenigen, die hier andere fertig machen, nur weil sie ihre Meinung mitteilen, gross rumschreien, dass sie es kommen sahen. Die Wahrheit ist, dass wir in einer selbstsüchtigen und egoistischen Welt leben, wo die Meisten (vielleicht sogar jeder) nach dem Eigenem suchen und nicht das was für den Nächsten am besten ist. V.a. aber wird die Welt von Geld regiert und nicht von ehrenamtlichen Helfern. Das sollte wirklich einem jeden spätestens jetzt klar werden.
+1
Die Mailapp Dispatch als Ersatz für Apple Mail????
Ich nutze Mail ausschließlich am PC. Da das nächste iOS dann auch die Corona-Schnittstelle haben wird, verzichte ich darauf.
Weia, kaum ist mal was in iOS nicht ganz perfekt, stürzen sich die Nachrichtensendungen drauf, bei Android wäre das nicht mal in einem Nebensatz erwähnt worden.
Jedes IT-Gerät ist angreifbar und E-Mail ist komplett unsicher. Und jetzt?
Ich frage mich, ob sich schädlicher Code, der sich durch die Schwachstelle in der Mail-App ausführen ließ, sich nach einem schließen der App aus dem Multitasking danach auch immernoch ausführen lässt?
Oder nach einem Neustart des Geräts.
Muss dazu nochmal eine präparierte Email geöffnet werden?
Was ich mich Frage ist das die App oder ist das Mail über Apple? Wenn ich das so lese scheint es aber so zu sein das es Provider unabhängig ist und an der App selber liegt, oder?
Spark
Es müsste aber doch möglich sein, potentiell Schadmails serverseitig zu blocken? Dann braucht es erst mal keinen Fix, solange man bei eine Provider ist, der entsprechende Filter laufen hat.
Na hoffentlich patchen die dann ios bis zum ios6 runter. Nur die 13er wäre echt schwach
Nur gut das unsere IPhone trotz deaktivierung des Mail abrufs, Email abruft.
Apple Computer und Smartphons taugen nichts nur Spinner kaufen diesen Müll. Der hohe Preis zeichnet sich nicht wegen der Qualität sondern wegen dem niedrigen Marktanteil von nur 12 % die Apple hat.