Das BSI warnt aktuell vor einer Schwachstelle in iOS Mail. Diese betrifft mindestens alle iOS Versionen ab 6 und sowohl iPhone als auch iPad. Das Ausnutzen der Schwachstelle ist wohl umso einfacher je neuer die iOS Version ist. (Die aktuelle iOS und iPadOS Versionen sind 13.4.1.)
Das Sicherheits-Unternehmen ZecOPS hat am 20. April auf die Schwachstelle hingewiesen. Das BSI steht dazu im Austausch mit Apple. Ein Sicherheits-Patch liegt wohl bereits vor. Dieser ist jedoch noch nicht final. Die Meldung von heise.de ist unter diesem externen Link erreichbar.
Das Apple Betriebssystem MacOS ist von der Schwachstelle nicht betroffen.
Auswirkung
Die Schwachstelle in iOS Mail wird als besonders kritisch eingestuft. Diese kann zu einer massiven Einschränkung des Regelbetriebs führen. Nach bisherigen Erkenntnissen wurde die Schwachstelle in iOS Mail bereits ausgenutzt.
Diese ermöglicht einem Angreifer das Ausführen von schadhaftem Programm-Code. Dazu wird nur eine sehr große E‑Mail an das Ziel übermittelt. Bei iOS /iPadOS 13 reicht das Abrufen der schadhaften E‑Mail vom Server. Bei anderen Versionen ist eine Nutzer-Interaktion notwendig.
Empfohlene Maßnahmen
Folgende Handlungs-Empfehlungen gibt das BSI um der Schwachstelle in iOS Mail zu begegnen. Deaktivieren der, mit iOS Mail verknüpften E‑Mail-Konten. So habe ich das auch bei meinem iPhone und iPad umgesetzt. Weiterhin kann die Synchronisation und Push-Funktion der E‑Mail-Konten abgeschaltet werden.
Nutzen Sie bis dahin andere E‑Mail-Apps oder (so vorhanden) Webmail.
Sobald vorhanden, installieren Sie den Sicherheits-Patch von Apple .
Auch die Nutzung der Public Beta von iOS 13.4.5 schützt vor der Schwachstelle. Das empfehle ich allerdings erfahrenen Benutzern. Unternehmen sollten davon absehen und auf den Sicherheits-Patch warten. Ohnehin ist es für Unternehmen ratsam statt iOS Mail eine Sandbox-Lösung einzusetzen.