Advisory: Schwachstelle in iOS App Mail – nicht mehr nutzen!

Das BSI rät [1], die iOS Mail-App bis zur Bereitstellung eines Patches für das Schließen der Sicherheitslücke nicht mehr zu verwenden. Was ist da los? Und wozu rät die TO?

Wer oder was ist betroffen?

Betroffen ist die Applikation Mail auf allen aktuellen iOS Geräten (iPhone und iPad).

Was kann passieren?

Die Mailkommunikation auf solchen Geräten kann manipuliert werden. Details beschreiben die Entdecker der Schwachstelle im Blogartikel „You’ve Got (0-click) Mail!“

Wie passiert der Angriff?

Je nach Geräteversion genügt das Zustellen einer schadhaften E-Mail und die Anzeige dieser Mail in der Vorschau der Mail-App.

Wie kann man sich schützen?

Das Löschen der AppMail“ oder die Abschaltung der Synchronisation sind die einzigen möglichen Schutzmaßnahmen bis zur Bereitstellung eines Updates durch Apple.

Wir empfehlen das Abschalten der Synchronisation:

  1. Starten sie die App „Einstellungen“
    Abschalten der Synchronisation - iOS Einstellungen
    .
  2. Gehen sie zu „Passwörter & Accounts“
    Abschalten der Synchronisation - Passwörtre & Accounts
    .
  3. Deaktivieren sie in jedem Account „Mail“
    Abschalten der Synchronisation - Account Mail
    .

 

 

Danach kann zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegriffen werden.

Können diese Maßnahmen auch zentral verwaltet werden?

Mit Einschränkungen, ja. Manche Mobile Device Management Systeme (MDM) bieten die Möglichkeit die Nutzung der Mail-App gänzlich zu verhindern. Mit anderen kann zumindest die Synchronisation geschäftlicher Accounts verhindert werden.

So geht dies auch mit auralis: Wenn nur von auralis erstellte Mail-Konfigurationen existieren, kann in auralis in Systemkonfiguration => Groupware ActiveSync temporär deaktiviert werden. Dies betrifft dann allerdings auch Android und Windows. Außerdem findet dann auch keine Sync von Terminen statt.

Was macht TO?

Wir haben unsere Mitarbeiter aufgefordert bis zur Bereitstellung eines Updates die Synchronisation von E-Mail zudeaktivieren (wie oben beschrieben).

Kann der Einsatz von Spamfiltern helfen?

Der Blogartikel von Zec0ps zitiert eine Reihe von Eigenschaften, die kompromittierende (also schadhafte) eMails aufweisen:

Indicators of Compromise
# Type of indicator Purpose IOC
1 String in raw email Part of the malicious email sent AAAAATEy AND EA\r\nAABI
2 String in raw email Part of the malicious email sent T8hlGOo9 AND OKl2N\r\nC AND AAAAAAAA
3 String in raw email Part of the malicious email sent 3r0TRZfh AND AAAAAAAA
4 String in raw email Part of the malicious email sent \n/s1Caa6 AND J1Ls9RWH
5 String in raw email Part of the malicious email sent ://44449
6 String in raw email Part of the malicious email sent ://84371
7 String in raw email Part of the malicious email sent ://87756
8 String in raw email Part of the malicious email sent ://94654

 

Nach diesen kann auf Mailgateways gesucht werden, und so ggf. ein Schutz vor einem solchen Angriff hergestellt werden. Problematisch ist dabei allerdings zu bewerten: Ist diese Liste vollständig? Wie häufig treten False Positives auf?

Eine Nutzung von Spamfiltern zur Abwehr scheint daher nicht ausreichend.


Quelle Titelbild: ZecOps

[1] BSI warnt vor Einsatz von iOS-App „Mail“

Die iOSAppMail“ ist auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich sind, ist Gegenstand weiterer Prüfungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Für die insgesamt zwei Schwachstellen stehen bislang keine Patches zur Verfügung. Medienberichten zufolge werden die Schwachstellen bereits aktiv ausgenutzt. So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die AppMail“ unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *