Advisory: Schwachstelle in iOS App Mail – nicht mehr nutzen!
Wer oder was ist betroffen?
Betroffen ist die Applikation Mail auf allen aktuellen iOS Geräten (iPhone und iPad).
Was kann passieren?
Die Mailkommunikation auf solchen Geräten kann manipuliert werden. Details beschreiben die Entdecker der Schwachstelle im Blogartikel „You’ve Got (0-click) Mail!“
Wie passiert der Angriff?
Je nach Geräteversion genügt das Zustellen einer schadhaften E-Mail und die Anzeige dieser Mail in der Vorschau der Mail-App.
Wie kann man sich schützen?
Das Löschen der App „Mail“ oder die Abschaltung der Synchronisation sind die einzigen möglichen Schutzmaßnahmen bis zur Bereitstellung eines Updates durch Apple.
Wir empfehlen das Abschalten der Synchronisation:
- Starten sie die App „Einstellungen“
. - Gehen sie zu „Passwörter & Accounts“
. - Deaktivieren sie in jedem Account „Mail“
.
Danach kann zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegriffen werden.
Können diese Maßnahmen auch zentral verwaltet werden?
Mit Einschränkungen, ja. Manche Mobile Device Management Systeme (MDM) bieten die Möglichkeit die Nutzung der Mail-App gänzlich zu verhindern. Mit anderen kann zumindest die Synchronisation geschäftlicher Accounts verhindert werden.
So geht dies auch mit auralis: Wenn nur von auralis erstellte Mail-Konfigurationen existieren, kann in auralis in Systemkonfiguration => Groupware ActiveSync temporär deaktiviert werden. Dies betrifft dann allerdings auch Android und Windows. Außerdem findet dann auch keine Sync von Terminen statt.
Was macht TO?
Wir haben unsere Mitarbeiter aufgefordert bis zur Bereitstellung eines Updates die Synchronisation von E-Mail zudeaktivieren (wie oben beschrieben).
Kann der Einsatz von Spamfiltern helfen?
Der Blogartikel von Zec0ps zitiert eine Reihe von Eigenschaften, die kompromittierende (also schadhafte) eMails aufweisen:
Indicators of Compromise
| # | Type of indicator | Purpose | IOC |
| 1 | String in raw email | Part of the malicious email sent | AAAAATEy AND EA\r\nAABI |
| 2 | String in raw email | Part of the malicious email sent | T8hlGOo9 AND OKl2N\r\nC AND AAAAAAAA |
| 3 | String in raw email | Part of the malicious email sent | 3r0TRZfh AND AAAAAAAA |
| 4 | String in raw email | Part of the malicious email sent | \n/s1Caa6 AND J1Ls9RWH |
| 5 | String in raw email | Part of the malicious email sent | ://44449 |
| 6 | String in raw email | Part of the malicious email sent | ://84371 |
| 7 | String in raw email | Part of the malicious email sent | ://87756 |
| 8 | String in raw email | Part of the malicious email sent | ://94654 |
Nach diesen kann auf Mailgateways gesucht werden, und so ggf. ein Schutz vor einem solchen Angriff hergestellt werden. Problematisch ist dabei allerdings zu bewerten: Ist diese Liste vollständig? Wie häufig treten False Positives auf?
Eine Nutzung von Spamfiltern zur Abwehr scheint daher nicht ausreichend.
Quelle Titelbild: ZecOps
[1] BSI warnt vor Einsatz von iOS-App „Mail“
Die iOS–App „Mail“ ist auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich sind, ist Gegenstand weiterer Prüfungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Für die insgesamt zwei Schwachstellen stehen bislang keine Patches zur Verfügung. Medienberichten zufolge werden die Schwachstellen bereits aktiv ausgenutzt. So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App „Mail“ unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren.
