Behebt iOS 13.5 den Mail-Bug?

Behebt iOS 13.5 den Mail-Bug?

Eine oft gestellte Frage seit der Veröffentlichung von iOS 13.5 lautet: Ist damit auch der Mail-Bug behoben, vor dem unter anderem Behörden warnen?

Um die Antwort vorweg zu nehmen: Ja, der Bug ist in iOS 13.5 behoben. Mehr dazu im weiteren Verlauf.

Update vom 28. Mai 2020

Mittlerweile hat auch Apple das Bugfix offiziell bestätigt: https://support.apple.com/de-de/HT211168

Worum genau geht es?

Wir erinnern uns: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland warnte am 23. April 2020 in einer Pressemitteilung vor dem Einsatz der iOS-System-App “Mail”. Entdeckt wurden die Sicherheitslücken, auf die sich das BSI bezog, von Sicherheitsforschern der Firma ZecOps.

Den Aussagen von ZecOps zufolge konnte mit einer E-Mail, die eine bestimmte Menge Arbeitsspeicher in Anspruch nimmt, fremder Programmcode auf iOS-Geräten eingeschleust und ausgeführt werden – die so genannte Remote Code Execution. Solche Fehler entstehen, wenn Programme aus ihren zugewiesenen Speicherbereichen “ausbrechen” können. Normalerweise sollen sie daran gehindert werden. Um den Bug auszunutzen, genüge ein normaler Dateianhang wie eine RTF-Datei, hieß es seitens ZecOps. Die Sicherheitslücke reiche zurück bis zu den ersten iPhones aus dem Jahre 2007, die noch unter iOS 3.1.3 liefen.

Dazu der Rat des Bundesamts für Sicherheit in der Informationstechnik:

Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen.

BSI-Präsident Arne Schönbohm

Apple bestätigte einen Tag nach Veröffentlichung das Vorhandensein der Sicherheitlücken – machte jedoch in einer Stellungnahme deutlich, dass diese nach ihren Erkenntnissen nicht gegen Kunden eingesetzt wurden:

Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher’s report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users. The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers. These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance.

Quelle: The Verge

ZecOps hingegen behauptete, dass es bei mehreren ihrer Kunden mutmaßlich zu Angriffen auf Grundlage dieser Sicherheitslücke gekommen sei. Mangels Namensnennungen lässt sich das von außen nicht überprüfen.

Die Lösung

Apples Einschätzung zur geringen Gefahr spiegelt sich auch in der Behebung dieses Bugs wider. Zwar wurde schon Mitte April mit der ersten Betaversion von iOS 13.4.5 die Lücke geschlossen. Wer jedoch keine Testversion auf seine iOS-Geräte lud, musste die Lücke entweder in Kauf nehmen oder den Rat des BSI beherzigen und die App nicht mehr einsetzen. Es dauerte fast einen Monat – bis Mitte Mai 2020 -, bis das Update in Form von iOS 13.5 allen Nutzern zur Verfügung stand.

Den Release Notes lässt sich die Fehlerbehebung freilich nicht entnehmen, was viele Nutzer stutzig macht. Zahlreiche Anfragen erreichten den Apfelfunk zu diesem Thema.

Auch Apples Support-Seite gab am 24. Mai noch keine Antwort auf die Frage nach dem Mail-Bug. Die Fehlerbehebungen in iOS 13.5 sind dort derzeit noch nicht eingepflegt.

Gewissheit geben allerdings die Sicherheitsforscher von ZecOps. Sie teilten am 21. Mai über Twitter mit, dass sie iOS 13.5 mit Blick auf die Lücke noch einmal überprüft haben. Das Ergebnis: “Wir können bestätigen, dass die MailDemon Lücken behoben wurden.”

Das kann iOS 13.5 außerdem

iOS 13.5 enthält neben dem Bugfix vor allem die so genannte Tracing API. Mithilfe dieser Schnittstelle können Corona-Tracing-Apps via Bluetooth die Kontakte mit möglicherweise Infizierten verfolgen und Nutzer warnen.

Außerdem zeigt Face ID jetzt schneller die Code-Eingabe, wenn der Nutzer eine Gesichtsmaske trägt, und bei Gruppen-FaceTime-Gesprächen kann manuell eingestellt werden, ob der gerade Sprechende automatisch größer angezeigt wird.

Über iOS 13.5 haben wir auch ausführlich im Apfelfunk gesprochen:

Geschrieben von
Malte
Diskutiere mit

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

1 Kommentar

Willkommen beim Apfelfunk

Der Apfelfunk ist ein Podcast über Apple-Themen, der wöchentlich erscheint.

Jean-Claude Frick und Malte Kirchner berichten und bewerten darin die Neuigkeiten. Ein Podcast über Apple, Gadgets & mehr.

Hier klicken für mehr Infos

Lade Dir die Apfelfunk-App:
iOS Android
Mehr Infos über die App

Unterstütze den Apfelfunk:
Spenden bei Steady Paypal & mehr

So hörst Du uns

Den Apfelfunk kannst Du Dir hier auf unserer Website oder in der Podcast-App Deiner Wahl anhören. Suche einfach nach Apfelfunk.

Oder klicke einen der folgenden Links:

Apple Podcasts
Spotify
Google Podcasts
RSS-Feed abonnieren

Geplante Livestreams

  • Apfelfunk am Hörer 30. Oktober 2020 um 21:45 – 23:00

(Auch) gut zu hören


KFZ Podcast – Tech, Talk & Temperamente mit Malte Kirchner, Jean-Claude Frick und Rafael Zeier