iCloud-Passwort in Gefahr

Mail-App in iOS mit gravierender Sicherheitslücke

Nutzer von iPhone, iPad & Co. sollten (noch) vorsichtiger bei E-Mails unbekannter Absender sein. Die Mail-App in iOS hat eine gravierende Sicherheitslücke. Dabei ist Apple das Leck schon seit Januar bekannt.

ios, sicherheitslücke, Mail app inject kit, spam, phishing, iphone, ipad

© Screenshot: WEKA; Jan Soucek / Youtube

Nutzer von iPhone & Co. sollten vorsichtiger bei E-Mails sein.

Der Sicherheitsforscher Jan Soucek aus Tschechien hat in der Standard-App für E-Mails unter iOS, dem Betriebssystem für iPhone, iPad und iPod Touch, eine gravierende Sicherheitslücke entdeckt. Mit dieser können Angreifer in E-Mails ungefragt - mit simplen HTML- und CSS-Befehlen - ein Formular herunterladen und öffnen lassen, das Apples Sicherheitsabfrage nach dem iCloud-Passwort ähneln kann.

Auch andere vermeintliche Login-Masken wie etwa zu Amazon, Paypal & Co. sind denkbar. Gibt der Nutzer darin seine Zugangsdaten ein und schickt sie ab, wandern sie im Klartext an den Angreifer. Die Methode ähnelt typischen Phishing-Angriffen, nur ohne den entscheidenden Klick des Nutzers auf eine präparierte Webseite.

Wie reagiert Apple?

Soucek hat Apple diese Lücke in "Mail" zwar bereits im Januar gemeldet. Die zu diesem Zeitpunkt von ihm verwendete iOS-Version 8.1.2 sowie der aktuelle Nachfolger 8.3 weisen jedoch bis heute das von ihm entdeckte Sicherheitsrisiko auf. Was die Sache - neben Apples bisher nicht vorhandener Reaktion - verschlimmert, ist die Tatsache, dass der Sicherheitsforscher die Lücke im Detail auf Github publik gemacht hat. Dabei handelt es sich um eine beliebte Plattform für Entwickler, auf der diese Code austauschen können. Soucek erhofft sich dadurch eine schnellere Reaktion von Apple.

Auf Github und anderenorts jedoch machen Sicherheitsforscher regelmäßig auf ihre Funde aufmerksam und berichten im Detail. Bei der aktuellen Lücke braucht es nur deutlich weniger technisches Wissen, um selbst einen Angriff auf betroffene Systeme durchzuführen. Mail in OS X ist übrigens auch betroffen, wie Jan Soucek auf Twitter mitteilt.

Da die vorinstallierte Mail-App im Apple-Betriebssystem automatisch zu ladende HTML-Codes ohne Nachfrage öffnet, kann eine unscheinbare, vermeintlich harmlose E-Mail die App nach folgendem Muster missbrauchen: Der Nutzer erhält eine klassische Spam-E-Mail, die er öffnet, um sie zu lesen.

Lesetipp: So entlarven Sie Spam-Mails

Per HTML und CSS wird nun ein komplett anderer Inhalt nachgeladen - scheinbar ein Apple-Dialogfenster mit einer echt aussehenden Abfrage des iCloud-Zugangs. Die Ursprungs-Mail tritt in den Hintergrund. Es sieht dann aus, als würde das Apple-Gerät aus Sicherheitsgründen - unabhängig von der E-Mail - nach dem Passwort fragen, wie Soucek im nachfolgenden Video demonstriert.

Wer viel bei iTunes oder im App Store einkauft und seine Bezahldaten, etwa die Kreditkarte, hinterlegt hat, kennt das Prozedere auf iPhone, iPad und Co. Unachtsame Nutzer könnten dann einfach aus Gewohnheit Ihre Daten eingeben. Sind die Daten ins vermeintlich echte Formular eingetragen und abgeschickt, verschickt das Formular in der E-Mail sie im Klartext an den Angreifer. Dieser hat anschließend Zugang zum Apple-Profil des Opfers und kann persönliche Daten abgreifen.

Was kann ich dagegen machen?

Nutzer mit iOS-Geräten sollten also erhöhte Vorsicht bei E-Mails aus unbekannten Quellen walten lassen. Cyberkriminelle dürften es nach Souceks Vorstoß wegen Apples Verhalten vermehrt versuchen, Zugänge der Nutzer über die aktuelle Sicherheitslücke zu stehlen. Schützen können Sie sich, indem Sie alternative Mail-Apps für iOS (connect.de) einsetzen, die mehr Sicherheits-Features mitbringen.

Proof-of-concept: iOS 8.3 Mail.app attack

Quelle: eskocz
0:59 min

Mehr zum Thema

Wir stellen drei sichere Whatsapp-Alternativen vor.
Whatsapp Alternative

Als Whatsapp Alternative mit sicher verschlüsselten Nachrichten eignen sich einige Apps. Wir stellen Ihnen Threema, Telegram und MyEnigma vor.
Wir zeigen, wie Sie sich vor Datenverlust im Fall der Fälle schützen können.
Backup und Verschlüsselung

Wenn Ihr iPhone, Android-Smartphone, Laptop oder Tablet gestohlen wurde, kann der Dieb auf Ihre persönlichen Daten zugreifen. Wir zeigen, wie Sie…
icloud, ios 8, apple
iOS 8 Bug

Ein Fehler in iOS 8 scheint dazu zu führen, dass ohne Zustimmung des Nutzers Dokumente und Dateien aus iCloud Drive gelöscht werden.
WhatsApp Abofalle
Warnung von Verbraucherzentrale

Vorsicht bei der Nutzung von Whatsapp: Spammer versuchen aktuell Nutzer des Messengers über Werbe-Nachrichten in eine Abofalle zu locken. Ein…
Apple iTunes
iOS & Mac OS X angreifbar

Apple kündigt an, die Xara-Sicherheitslücken in iOS zu schließen. Mit diesen konnten Cyberkriminelle Daten aus iOS und Mac OS X stehlen.