IT-Sicherheitsbehörde empfiehlt, die App zu löschen

Sicherheitslücke in Mail-App von iPhones entdeckt

24. April 2020 - 9:13 Uhr

Angreifer verschaffen sich mit der Lücke Zugriff auf das iPhone

Die IT-Sicherheitsbehörde BSI, die auch die Bundesregierung schützt, empfiehlt, vorübergehend die E-Mail-App der iPhones zu löschen. Grund ist eine Sicherheitslücke, bei der das Öffnen einer Mail bereits ausreichen soll, um Angreifern Zugriff auf das iPhone zu gewähren. Laut US-Experten wurde sie bereits ausgenutzt, unter anderem bei einem "VIP aus Deutschland".

BSI empfiehlt, die E-Mail-App zu löschen

Auf einem iPhone werden 172 ungelesene Mails angezeigt. Foto: Jens Kalaene/Archiv
In der vorinstallierten E-Mail-App auf iPhones und iPads gibt es eine Sicherheitslücke.
© DPA

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm und empfiehlt Nutzern, die auf jedem Gerät vorinstallierte E-Mail-App der iPhones und iPads zu löschen oder die Synchronisierung der Mails abzuschalten: Durch die Sicherheitslücke sei "potenziell das Lesen, Verändern und Löschen von E-Mails möglich."

Zuvor hatte die amerikanische IT-Sicherheitsfirma ZecOps in einem Blogeintrag von der Sicherheitslücke berichtet. Es genüge das Öffnen einer manipulierten E-Mail mit der Mail-App, damit schadhafter Code auf dem Smartphone ausgeführt werden kann. Unter dem Betriebssystem iOS 13 reiche es sogar schon aus, wenn die Mail-App im Hintergrund geöffnet ist und eine infizierte Nachricht empfängt. Hacker sollen dabei unter anderem einen Fehler ausnutzen, der Zugriff auf das Gerät erlaube, wenn der Arbeitsspeicher des iPhones überfüllt ist.

Hinweise auf sechs Attacken gefunden

Die US-Sicherheitsexperten haben Hinweise darauf gefunden, dass die Schwachstellen in einigen Fällen bereits für gezielte Attacken ausgenutzt worden seien. Sie konnte nach eigenen Angaben Hinweise auf sechs Attacken auf Basis der Sicherheitslücken feststellen. Unter den Zielen der Angriffe seien Manager großer US-Unternehmen, ein europäischer Journalist und ein nicht näher genannter "VIP aus Deutschland".

ZecOps zufolge würde ein angegriffener Nutzer lediglich merken, dass die E-Mail-App langsamer laufe. Bei missglückten Attacken könne sie abstürzen. Die Sicherheitsfirma habe im Februar erste Hinweise auf die Angriffe bekommen und seitdem in Kontakt mit Apple gestanden.

Sicherheitslücke schon seit 2012 vorhanden

Die Sicherheitslücke sei bereits in iOS 6 vorhanden gewesen, also seit der Einführung des iPhone 5 im September 2012. Bisher entdeckte Angriffsmechanismen reichen bis Januar 2018 zurück. In der aktuellen Beta-Version des nächsten iOS-13-Updates sei die Schwachstelle bereits behoben worden. Einen wirksamen Schutz wird es aber erst geben, wenn das Update für alle Nutzer verfügbar ist.

Bis dahin bleiben Nutzer der Mail-App angreifbar. Apple selbst hat sich zu der Sicherheitslücke bislang nicht geäußert. ZecOps schränkte jedoch ein, dass für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden müssten.

Mitten in der Corona-Krise hat Apple jetzt ein neues iPhone SE vorgestellt. Wie es aussieht und was es kann, zeigen wir Ihnen hier.