26.05.2020, 11:10 Uhr | Lesezeit: 3 Minuten
Eine Schwachstelle in der Apple-eigenen Mail-App erlaubte es Angreifern seit Jahren, iPhones relativ einfach zu hacken. Jetzt wurde sie endlich per Update gepatcht.
Sicherheitsfirma ZecOps hat die Schwachstelle gefunden, als es eine großangelegte Cyberattacke aus dem Jahr 2019 investigierte, wie die Nachrichtenagentur Reuters berichtet. ZecOps-Geschäftsführer Zuk Avraham bestätigte demnach, dass Beweise gefunden wurden, dass die Schwachstelle in mindestens sechs Cyber-Angriffen ausgenutzt wurde.
Das Sicherheits-Update ist fertig
Apple ist eigentlich für seine vermeintlich sicheren Betriebssysteme bekannt. Dass das Unternehmen bis zur Sichtbarmachung durch ZecOps nichts von der Schwachstelle wusste, ist ein schlechtes Zeichen. Diese sogenannten „Zero-Day“-Schwachstellen sind besonders gefährlich, weil es keinen Schutz davor gibt, wie Vices Technik-Magazin „Motherboard“ schreibt.
Apple hatte die Schwachstelle bereits bestätigt, ist aber nicht darauf eingegangen, ob sie tatsächlich für Angriffe genutzt wurde, wie Avraham behauptet. Das Unternehmen hat sich sofort daran gemacht, einen Bugfix zu entwickeln. iOS-Beta-Tester haben den Fix mit dem Update auf iOS-Betaversion 13.4.5 erhalten. Nun wird das Update in Form von iOS 13.5 an alle Nutzer mit kompatiblen iPhones ausgespielt.
Auch interessant: iOS 13.5 mit Corona-Funktionen ist jetzt verfügbar
So installieren Sie die Mail-App wieder
Da in der Zwischenzeit kein Sicherheitsschutz für betroffene iPhone-Besitzer verfügbar war, hat TECHBOOK zur Deinstallation der Mai-App geraten. Da die Schwachstelle nun aber gepatcht ist, können Sie die App getrost wieder installieren:
- Öffnen Sie den App Store
- Klicken Sie auf die Option Suchen
- Geben Sie Mail in das Suchfenster ein und klicken Sie auf Suchen
- Wählen Sie das oberste Suchergebnis aus und klicken Sie auf das kleine Wolken-Symbol
Nun, da die Mail-App wieder installiert ist, gibt es zwei Möglichkeiten. Nutzer von Gmail, Outlook und anderen E-Mail-Diensten müssen sich mit ihren jeweiligen Login-Daten wieder anmelden. Nutzer einer Apple-E-Mail-Adresse müssen unter Einstellungen>Ihre Apple-ID>iCloud den Slider bei dem Eintrag Mail einfach wieder aktivieren.
Das steckt drin iOS 13.5 mit Corona-Funktionen ist jetzt verfügbar
Bedrohungslage Gelb Bundesbehörde warnt erneut vor kritischen Lücken in Microsoft Exchange
HomeKit-Bug Neuer Hacker-Trick macht iPhones und iPads unbrauchbar
Seit acht Jahren unsicher
ZecOps schreibt in seinem Sicherheits-Bericht: „Die Schwachstelle gewährt Zugriff auf die Fernausführung von Code und ermöglicht es einem Angreifer, ein Gerät aus der Ferne zu infizieren, in dem E-Mails geschickt werden, die einen wesentlichen Anteil des Speichers einnehmen.“ Das Schlimme daran ist, dass der Angriff durchgeführt werden kann, wenn die Mail-App im Hintergrund läuft. Infizierte E-Mails können also Malware auf iPhones und iPads auszuführen, ohne überhaupt vom Nutzer geöffnet werden zu müssen. Es handelt sich damit um eine „Zero-Click“-Schwachstelle, bei der keine Aktion des Nutzers notwendig ist. Zero-Click-Attacken mit infizierten E-Mail sind laut ZecOps bereits seit iOS 12 eingeschränkt und seit iOS 13 uneingeschränkt möglich.
Die Sicherheitslücke in der Mail-App besteht jedoch schon seit iOS-Version 6, sie kursiert also bereits seit acht Jahren. Allerdings konnte ZecOps eine aktive Nutzung durch Hacker erst seit Januar 2018 in iOS 11.2.2 beobachten. Immerhin gibt die Schwachstelle Hackern keine Kontrolle über das gesamte Betriebssystem, aber über E-Mails in Apples eigener Mail-App. Sie erleichtert es Angreifern allerdings, gefährlichere Malware einschleusen zu können.