Eine Zero Day Sicherheitslücke meint eine Sicherheitsanfälligkeit bei der Computer-Software. Dabei handelt es sich um eine neue Schwachstelle, die bisher noch nicht behoben werden konnte. Mittels einer sogenannten Zero Day Exploit Attack werden solche Anfälligkeiten sofort genutzt, genauer noch am selben Tag, an dem die Schwachstelle entdeckt worden ist. Eine Behebung des Problems vor dem Angriff durch den Softwarehersteller ist nicht mehr möglich.
Es handelt sich um Fehler, die sich seit Beginn in einer App oder in einem Betriebssystem befindet. Die Problematiken wurden also bereits bei der Entwicklung übersehen.
Genau so ein Sicherheitsproblem gab es in jüngster Zeit bei Apple Mail. Durch eine Zero-Day-Lücke waren iPhone Nutzer über diese App angreifbar. Vorübergehend sollte die App daher nicht genutzt werden. Durch Lücken in derselben kan Code-Eingeschleusst werden. Die Lücke in der Sicherheit konnte ausgenutzt werden, bevor der Softwarehersteller Apple die Lücke fixen konnte. Es handelte sich um einen Angriff, der bei Erfolg keinerlei Spuren hinterlässt. Nur im Falle eines Misserfolges hinterlässt der Angriff Spuren und kann vom Softwarehersteller überhaupt bemerkt werden.
Konkreter wurden bei diesem Angriff über Apple Mail Schadcodes auf iPhones und iPads eingeschleust. Dies geschah mittels manipulierte E-Mails, die von den Angreifern unbemerkt übermittelt worden sind. Von den Schädigungen können alle Apple Geräte betroffen sein, bis zu der neuesten Version (iOS 13.4.1).
Bei Apple Mail handelt es sich um eine vorinstallierte App, die bereits beim Kauf auf dem Produkt vorhanden ist. Somit gibt es diese App auf allen iPhones oder iPads. Die bei den Angriffen genutzte Sicherheitslücke gibt es bereits seit längerer Zeit. Die Sicherheitsfirma ZecOps warnte deshalb auch vor bereits seit längerem stattfindenden Angriffen auf die vorinstallierte App von Apple.
Die Art der Angriffe unterscheidet sich zwischen den Versionen iOS 13 und iOS 12. Bei iOS 13 sind die Angriffe leichter durchführbar. Ohne jegliche Nutzerinteraktion können die Angriffe durchgeführt werden, völlig unbemerkt im Hintergrund.
Bei iOS 12 muss der Angreifer hingegen eine gewisse Kontrolle über die E-Mails des Opfers haben. Das Opfer muss die manipulierte E-Mail selbst öffnen. Erst dann kann der Angriff erfolgen. Spam E-Mails in dieser Art hat sicherlich jeder täglich in seinem E-Mail Postfach. Es gibt allerdings auch immer E-Mails, die so gut gemacht sind, dass der Nutzer sie trotzdem aus Versehen öffnet. Ohne das bewusste Öffnen der E-Mail durch den Nutzer haben die Angriffe bei iOS 12 allerdings keinerlei Chance, ganz im Gegenteil zum iOS 13. Der Nutzer muss dort keine E-Mail öffnen und keinerlei Aktion ausführen. Trotzdem kann die schadhafte Software auf seinem iPhone oder iPad landen.
Durch den Angriff erhalten die Angreifer Zugriff auf die Mail-App von Apple. Kennen sie darüber hinaus allerdings noch eine Kernel-Schwachstelle, ist auch eine komplette Übernahme des fremden iPhone oder iPad möglich. In diesem Fall können die Angreifer mit dem Gerät machen, was sie wollen. Der Nutzer ist dagegen leider völlig machtlos.
Reaktion von Apple – ein Apple-Patch
Die Lücken, durch die die Apple Produkte angreifbar werden, sind inzwischen an den Softwarehersteller gemeldet. Der Hersteller hat auch bereits einen Patch entwickelt, der das Problem beheben soll. In der Beta von iOS 13.4.5 ist das Problem durch den Patch inzwischen behoben. Das Update ist allerdings noch nicht offiziell erschienen, wodurch das Problem für Apple Nutzer weiterhin besteht.
Apple hat sich allerdings dazu entschieden, die Nutzer vor Veröffentlichung des Patches über die Problematik zu informieren. Es gab bereits mehrere Angriffe, ob auf Einzelpersonen oder Firmen. Unter den Einzelpersonen waren beispielsweise Journalisten, Manager oder Prominente. Aufgrund der bereits bestehenden Vielzahl an Angriffen hatte Apple keine andere Möglichkeit, als die Lücke in der Sicherheit der iPhones und iPads bereits jetzt zu veröffentlichen.
Das weitere Problem liegt darin, dass die Angreifer vermutlich inzwischen wissen, dass das Problem von Apple bald behoben sein wird und zwar mit Veröffentlichung des bereits entwickelten Apple-Patches. Deshalb wird es vermutlich verstärkt zu Angriffen kommen, damit die bestehende Lücke so lange wie möglich ausgenutzt werden kann.
Vermutlich gibt es diese Schwachstellen in der Apple App schon seit mehreren Jahren. Davon geht zumindest die Firma ZecOps aus. Da die Angriffe bei Erfolg nicht nachvollzogen werden können, ist es sehr wahrscheinlich, dass schon längere Zeit unbemerkt Angriffe durchgeführt werden.
Auswirkungen beim Opfer
Wie bereits erwähnt, bemerkt das Opfer von dem Angriff nichts. Es kann vorkommen, dass bei einem erfolgreichen Angriff die Mail-App von Apple vorübergehend verlangsamt wird. Dies kann allerdings auch aus anderen Gründen passieren und wird nicht sofort mit einem solchen Angriff verbunden. Es ist auch nur eine Möglichkeit, dass diese Verlangsamung stattfindet. Genauso gut kann der Angriff keinerlei Auswirkungen haben und völlig unbemerkt ablaufen.
Schlägt der Angriff fehl, so kann der Nutzer eventuell eine unbekannt E-Mail in seinem Postfach finden. Diese hat den Text “This message has no content”. Diese E-Mail kann allerdings auch unter anderen Umständen erscheinen und ist somit auch kein sicherer Beweis für einen fehlgeschlagenen Angriff. Die App Apple-Mail hat seit iOS 13 mit erheblichen Problemen zu kämpfen, die von den Angriffen völlig unbeschadet sind. Dies wird ein weiterer Grund sein, warum die Angriffe bisher kaum entdeckt worden sind. Eventuelle Probleme mit der App wurden mit den allgemeinen Problematiken erklärt und nicht weiter hinterfragt.
Die Sicherheitsfirma ZecOps empfiehlt den Nutzern von Apple, zunächst vollständig auf die Nutzung der Apple-Mail zu verzichten. Das ist aktuell die einzige Möglichkeit, diese Angriffen auszuweichen. Statt Apple-Mail sollte ein alternativer E-Mail-Client verwendet werden. Darüber hinaus muss die Synchronisation von E-Mail-Accounts abgeschaltet werden. Dies ist steuerbar über die Einstellungen und Passwörter & Accounts. In dieser Einstellung sollte der Datenabruf auf manuell gestellt werden. Des Weiteren sollte “Push” deaktiviert werden. Bis der Apple-Patch offiziell vorliegt, sollten diese Einstellungen so belassen werden.
Die Mail-App sollte keinesfalls mehr genutzt werden. Sicherheitshalber also am besten das Icon löschen, damit die App nicht aus Versehen geöffnet wird.
Eine weitere Möglichkeit ist es, die Public Beta von iOS 13.4.5 zu installieren und so das Problem zu beheben.
Die Schwachstellen von Apple-Mail betreffen nur die iOS Version. Die Mac-Version ist von den Problemen nicht betroffen. Nutzer dieser Version können die Mail-App also weiterhin problemlos benutzten.
Forderung nach mehr Details
Inzwischen forderte der Hacker Dino A. Dai Zovi mehr Details. Zovi ist mit iOS sehr vertraut, trotzdem ist es für ihn anhand der aktuellen Informationen nicht möglich zu erschliessen, wie das Einschleusen der Schadcodes funktioniert. Dabei geht es vor allem um die beschriebenen Crashes, die dafür genutzt werden. Die Sicherheitsfirma ZecOps will zeitnah weitere Details zu der Problematik veröffentlichen.
Wen betrifft dieses Problem?
Obwohl grundsätzlich jeder iPhone oder iPad Nutzer gehackt werden könnte, betrifft dieses Problem die breite Masse nicht direkt. Das Hacken von Apple Geräten von Otto Normalverbrauchern verspricht nicht so viel Profit, wie das Hacken von Prominenten oder Journalisten. Auch mehrere Personen der “Fortune 500”-Firma aus den USA sind von der Problematik betroffen.
Wie viele Personen von der Problematik insgesamt betroffen sind, ist unklar. Da die Angriffe im Verborgenen ausgeführt werden, ist es auch unmöglich, eine genaue Zahl festzulegen.
Trotzdem sollte jeder Apple-Nutzer die Apple-Mail App aktuell nicht nutzen. Mit den bereits beschriebenen Einstellungen kann die Gefahr durch die Angriffe auf ein absolutes Minimum reduziert werden.
Welche Modelle sind betroffen?
Ältere Modelle, die vor dem Jahr 2012 erworben worden, sind von der Lücke nicht betroffen. Ab der Version iOS 6 besteht die Lücke in der Sicherheit von Apple-Mail. Dies dürfte allerdings trotzdem die meisten sich in Benutzung befindlichen iPhone Modelle betreffen, da so alte Geräte kaum noch genutzt werden. Der Trend geht immer zu den neueren und besseren Smartphones.
Seit der Version 11.2.2 wird die Lücke von den Angreifern vermutlich aktiv genutzt.