Alle Nutzer eines iPhones oder iPads sollten jetzt aufpassen. Erst im März haben wir von einer Schwachstelle in den iOS-Versionen ab 13.3.1 berichtet. In der von Apple vorinstallierten E-Mail-App „Mail“ wurden nun zwei gravierende Sicherheitslücken entdeckt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm.  Apple reagiert entspannt, will aber umgehend nachbessern.

Betroffen sind alle iOS-Versionen rückwirkend zur Betriebssystemversion iOS 6. Hacker können die Sicherheitslücken ausnutzen und durch sie E-Mails auf den Geräten lesen, löschen oder verändern. Sie können mit dem Senden einer mit Schadcode behafteten E-Mail das jeweilige Apple-Gerät kompromittieren und E-Mails manipulieren. Mit der neuesten Betriebssystemversion iOS 13 muss die E-Mail noch nicht einmal aktiv geöffnet werden, sondern allein der Empfang der E-Mail ist ausreichend.

Das amerikanische Cybersicherheits-Start-Up Unternehmen Zecops ist während einer Routineuntersuchung auf die Sicherheitslücke aufmerksam geworden. Nach weiteren Untersuchungen fanden sie Beweise für gezielte Angriffe, die bereits stattgefunden hätten. Darunter befänden sich ein Fortune-500-Unternehmen aus Nordamerika, ein Journalist in Europa und auch ein VIP in Deutschland.

iOS-Mail bis zum Update nicht mehr nutzen

Apple hat nach eigenen Aussagen bisher keine Nachweise gefunden, dass Hacker die Schwachstelle ausgenutzt hätten und geht aktuell davon aus, dass kein unmittelbares Risiko für seine Nutzer besteht. Allerdings steht laut BSI noch kein Patch von Apple zu Verfügung. Daher lautet hier die ausdrückliche Empfehlung die App nicht zu verwenden und von dem Gerät zu löschen. Andere Apps sollten für den Empfang von E-Mails verwendet werden. Das BSI stuft diese Schwachstelle als besonders kritisch ein, da damit Tausende iPhones und iPads von Privatpersonen, aber auch Behörden und Unternehmen betroffen sind. Dies ist gerade in der aktuellen Situation, in der ein Großteil der Unternehmen und Behörden seine Mitarbeiter im Homeoffice auch über mobile Devices arbeiten lässt, besonders bedenklich.

ZecOps hat Apple nach eigener Aussage bereits im Februar über die Sicherheitslücken informiert. In der neuesten Betaversion von iOS 13.4.5 hat Apple die Schwachstellen jetzt gepatcht. Bis dieses offiziell verteilt wird, soll es aber noch einige Tage dauern. Sobald das Update veröffentlicht wird, sollte es umgehend installiert werden.