Eine oft gestellte Frage seit der Veröffentlichung von iOS 13.5 lautet: Ist damit auch der Mail-Bug behoben, vor dem unter anderem Behörden warnen?
Um die Antwort vorweg zu nehmen: Ja, der Bug ist in iOS 13.5 behoben. Mehr dazu im weiteren Verlauf.
Update vom 28. Mai 2020
Mittlerweile hat auch Apple das Bugfix offiziell bestätigt: https://support.apple.com/de-de/HT211168
Worum genau geht es?
Wir erinnern uns: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland warnte am 23. April 2020 in einer Pressemitteilung vor dem Einsatz der iOS-System-App „Mail“. Entdeckt wurden die Sicherheitslücken, auf die sich das BSI bezog, von Sicherheitsforschern der Firma ZecOps.
Den Aussagen von ZecOps zufolge konnte mit einer E-Mail, die eine bestimmte Menge Arbeitsspeicher in Anspruch nimmt, fremder Programmcode auf iOS-Geräten eingeschleust und ausgeführt werden – die so genannte Remote Code Execution. Solche Fehler entstehen, wenn Programme aus ihren zugewiesenen Speicherbereichen „ausbrechen“ können. Normalerweise sollen sie daran gehindert werden. Um den Bug auszunutzen, genüge ein normaler Dateianhang wie eine RTF-Datei, hieß es seitens ZecOps. Die Sicherheitslücke reiche zurück bis zu den ersten iPhones aus dem Jahre 2007, die noch unter iOS 3.1.3 liefen.
Dazu der Rat des Bundesamts für Sicherheit in der Informationstechnik:
Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen.
BSI-Präsident Arne Schönbohm
Apple bestätigte einen Tag nach Veröffentlichung das Vorhandensein der Sicherheitlücken – machte jedoch in einer Stellungnahme deutlich, dass diese nach ihren Erkenntnissen nicht gegen Kunden eingesetzt wurden:
Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher’s report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users. The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers. These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance.
Quelle: The Verge
ZecOps hingegen behauptete, dass es bei mehreren ihrer Kunden mutmaßlich zu Angriffen auf Grundlage dieser Sicherheitslücke gekommen sei. Mangels Namensnennungen lässt sich das von außen nicht überprüfen.
Die Lösung
Apples Einschätzung zur geringen Gefahr spiegelt sich auch in der Behebung dieses Bugs wider. Zwar wurde schon Mitte April mit der ersten Betaversion von iOS 13.4.5 die Lücke geschlossen. Wer jedoch keine Testversion auf seine iOS-Geräte lud, musste die Lücke entweder in Kauf nehmen oder den Rat des BSI beherzigen und die App nicht mehr einsetzen. Es dauerte fast einen Monat – bis Mitte Mai 2020 -, bis das Update in Form von iOS 13.5 allen Nutzern zur Verfügung stand.
Den Release Notes lässt sich die Fehlerbehebung freilich nicht entnehmen, was viele Nutzer stutzig macht. Zahlreiche Anfragen erreichten den Apfelfunk zu diesem Thema.
Auch Apples Support-Seite gab am 24. Mai noch keine Antwort auf die Frage nach dem Mail-Bug. Die Fehlerbehebungen in iOS 13.5 sind dort derzeit noch nicht eingepflegt.
Gewissheit geben allerdings die Sicherheitsforscher von ZecOps. Sie teilten am 21. Mai über Twitter mit, dass sie iOS 13.5 mit Blick auf die Lücke noch einmal überprüft haben. Das Ergebnis: „Wir können bestätigen, dass die MailDemon Lücken behoben wurden.“
Das kann iOS 13.5 außerdem
iOS 13.5 enthält neben dem Bugfix vor allem die so genannte Tracing API. Mithilfe dieser Schnittstelle können Corona-Tracing-Apps via Bluetooth die Kontakte mit möglicherweise Infizierten verfolgen und Nutzer warnen.
Außerdem zeigt Face ID jetzt schneller die Code-Eingabe, wenn der Nutzer eine Gesichtsmaske trägt, und bei Gruppen-FaceTime-Gesprächen kann manuell eingestellt werden, ob der gerade Sprechende automatisch größer angezeigt wird.
Über iOS 13.5 haben wir auch ausführlich im Apfelfunk gesprochen:
[…] Apfelfunk: Behebt iOS 13.5 den Mail-Bug? […]