Eine Zero-Day-Sicherheitslücke ist eine Schwachstelle in Software, die noch niemand gepatcht hat – und die Angreifer genau am Tag ihrer Entdeckung ausnutzen. Zeit für den Hersteller, das Problem zu beheben, bleibt keine.
Solche Fehler stecken oft von Anfang an im Code. Sie wurden bei der Entwicklung übersehen und schlummern dort, bis jemand sie findet – und ausnutzt.
Genau das passierte mit Apple Mail. Über eine Zero-Day-Lücke waren iPhone-Nutzer über diese vorinstallierte App angreifbar. Durch die Schwachstelle konnte Schadcode eingeschleust werden – und das, bevor Apple überhaupt reagieren konnte. Besonders heikel: Ein erfolgreicher Angriff hinterlässt keine Spuren. Nur fehlgeschlagene Versuche sind nachvollziehbar und können vom Hersteller überhaupt bemerkt werden.
Konkret wurden über Apple Mail manipulierte E-Mails verschickt, die Schadcode auf iPhones und iPads einschleusten – unbemerkt, im Hintergrund. Betroffen waren alle Apple-Geräte bis einschliesslich iOS 13.4.1. Da Apple Mail vorinstalliert ist, existiert die App auf jedem iPhone und iPad ab Werk. Die Sicherheitslücke bestand schon seit längerer Zeit – die Sicherheitsfirma ZecOps warnte deshalb auch vor Angriffen, die möglicherweise schon länger liefen.
Der Angriff funktioniert je nach iOS-Version unterschiedlich. Unter iOS 13 ist keinerlei Nutzerinteraktion nötig – der Angriff läuft vollständig im Hintergrund ab. Unter iOS 12 muss das Opfer die manipulierte E-Mail selbst öffnen. Spam-Mails dieser Art landen täglich in Postfächern, und gut gemachte Fälschungen werden immer wieder aus Versehen geöffnet. Ohne diesen Klick hat ein Angriff unter iOS 12 keine Chance – unter iOS 13 dagegen schon.
Gelingt der Angriff, erhalten die Angreifer Zugriff auf die Mail-App. Kennen sie zusätzlich eine Kernel-Schwachstelle, ist sogar eine vollständige Übernahme des Geräts möglich – und der Nutzer ist dagegen machtlos.
Reaktion von Apple – ein Apple-Patch
Die Lücken wurden Apple inzwischen gemeldet. Ein Patch ist entwickelt – in der Beta von iOS 13.4.5 ist das Problem behoben. Das offizielle Update stand zum Zeitpunkt dieser Meldung aber noch aus, das Problem bestand für alle Nutzer also weiter.
Apple entschied sich, die Öffentlichkeit vor der Patch-Veröffentlichung zu informieren. Angegriffen wurden unter anderem Journalisten, Manager und Prominente, aber auch Unternehmen. Angesichts der bereits bekannten Angriffswelle blieb keine Wahl, als die Lücke frühzeitig publik zu machen.
Das Timing ist heikel: Angreifer wissen nun, dass Apple den Fehler bald schliessen wird – und werden die verbleibende Zeitspanne voraussichtlich intensiv ausnutzen.
Wie lange die Schwachstelle schon existiert, ist unklar. ZecOps geht davon aus, dass sie seit mehreren Jahren besteht. Da erfolgreiche Angriffe spurlos verlaufen, dürften viele davon unentdeckt geblieben sein.
Auswirkungen beim Opfer
Das Opfer bemerkt von einem erfolgreichen Angriff in der Regel nichts. Möglich ist, dass die Mail-App vorübergehend langsamer reagiert – das kann aber auch andere Ursachen haben und fällt nicht zwingend auf. Oft läuft der Angriff komplett spurlos ab.
Schlägt ein Angriff fehl, taucht unter Umständen eine leere E-Mail mit dem Text „This message has no content“ im Postfach auf. Auch das ist kein sicherer Beweis – solche Mails können auch anderweitig entstehen. Dass Apple Mail seit iOS 13 ohnehin mit allgemeinen Problemen kämpft, hat dazu beigetragen, dass verdächtige Auffälligkeiten kaum als Angriffsspur erkannt wurden.
ZecOps empfiehlt, Apple Mail bis auf Weiteres vollständig zu meiden und auf einen alternativen E-Mail-Client umzusteigen. Zusätzlich sollte die E-Mail-Synchronisation in den Einstellungen unter Passwörter & Accounts auf manuellen Datenabruf gestellt und „Push“ deaktiviert werden. Das Icon der Mail-App zu löschen verhindert, dass sie aus Versehen geöffnet wird.
Wer lieber sofort den Fix haben möchte: Die Public Beta von iOS 13.4.5 behebt das Problem bereits.
Die Schwachstelle betrifft ausschliesslich iOS. Die Mac-Version von Apple Mail ist nicht betroffen.
Forderung nach mehr Details
Sicherheitsforscher Dino A. Dai Zovi – gut vertraut mit iOS – forderte öffentlich mehr technische Details. Anhand der bisher veröffentlichten Informationen lässt sich für ihn nicht nachvollziehen, wie das Einschleusen des Schadcodes konkret funktioniert, insbesondere mit Blick auf die beschriebenen Crashes. ZecOps kündigte an, zeitnah weitere Informationen nachzuliefern.
Wen betrifft dieses Problem?
Grundsätzlich ist jede iPhone- und iPad-Nutzerin, jeder Nutzer angreifbar. In der Praxis zielten die bekannten Angriffe aber auf Prominente, Journalisten und Personen aus dem Umfeld von Fortune-500-Unternehmen – der Aufwand lohnt sich für Angreifer dort mehr als bei Durchschnittsnutzern.
Wie viele Personen insgesamt betroffen sind, lässt sich nicht sagen. Da erfolgreiche Angriffe spurlos ablaufen, gibt es schlicht keine verlässliche Zahl.
Trotzdem gilt: Apple Mail aktuell nicht nutzen. Mit den beschriebenen Einstellungen lässt sich das Risiko auf ein Minimum reduzieren.
Welche Modelle sind betroffen?
Geräte, die vor 2012 gekauft wurden, sind nicht betroffen. Die Lücke existiert ab iOS 6 – das dürfte dennoch die grosse Mehrheit der heute noch genutzten iPhones und iPads treffen, da so alte Geräte kaum noch im Einsatz sind.
Ab iOS 11.2.2 wird die Schwachstelle laut ZecOps vermutlich aktiv ausgenutzt.