Betroffen sind alle iPhones der neuesten Versionen rückwirkend bis iOS 6: Zwei schwerwiegende Sicherheitslücken ermöglichen es Angreifern durch das Senden einer E-Mail, das betreffende iPhone oder iPad zu kompromittieren. Damit sei potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich sind, ist Gegenstand weiterer Prüfungen, teilte das BSI mit. Die Behörde schätzt diese Schwachstellen als sehr kritisch ein.

Für die insgesamt zwei Schwachstellen stehen bislang keine Patches zur Verfügung. Medienberichten zufolge werden die Schwachstellen bereits aktiv ausgenutzt. So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App "Mail" unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren.

Besonders kritisch

"Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen", erklärte dazu BSI-Präsident Arne Schönbohm.

Zuvor hatte die amerikanische IT-Sicherheitsfirma ZecOps erklärt, sie habe Hinweise darauf gefunden, dass die Schwachstellen in einigen Fällen bereits ausgenutzt worden seien, schreibt die Deutsche Presseagentur. Es habe sich dabei um sehr gezielte Attacken gehandelt. Sie hätten allerdings auf den betroffenen Geräten keinen schädlichen Softwarecode mehr entdecken können, sondern nur Indizien dafür, erklärten die Forscher. Die Beschreibung weckte bei einigen anderen Branchenexperten Zweifel daran, ob man bereits von einem Nachweis erfolgreicher Attacken sprechen könne.

Kein Dateiöffnen nötig für erfolgreichen Angriff

ZecOps konnte nach eigenen Angaben Hinweise auf sechs Attacken auf Basis der Sicherheitslücken feststellen. Unter den Zielen der Angriffe seien Manager großer US-Unternehmen sowie eines japanischen Mobilfunk-Anbieters, ein Journalist in Europa und ein nicht näher genannter «VIP in Deutschland» gewesen. Anders als bei vielen Angriffen muss der Nutzer den Experten zufolge nicht erst eine Datei im Anhang anklicken.

ZecOps zufolge würde ein angegriffener Nutzer lediglich merken, dass die E-Mail-App langsamer laufe – und bei missglückten Attacken könne sie abstürzen. Die Sicherheitsfirma habe im Februar erste Hinweise auf die Angriffe bekommen und seitdem in Kontakt mit Apple gestanden. Während sie Schwachstellen seit September 2012 bestanden hätten, reichten bisher entdeckte Angriffsmechanismen bis Januar 2018 zurück.

Empfehlungen des BSI

Apple will die Schwachstellen mit der nächsten Version seines Mobil-Betriebssystems iOS schließen. Die Mitte April veröffentlichte Vorab-Ausgabe von iOS 13.4.5 enthält bereits den entsprechenden Software-Code. Einen wirksamen Schutz wird es erst geben, wenn das Update für alle Nutzer verfügbar ist. Zugleich schränkte ZecOps ein, dass für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden müssten.

Das BSI empfiehlt daher, die App "Mail" zu löschen oder die Synchronisation dazu abzuschalten. Anschließend sollte man zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zugreifen. (sg)