Mail-Anwendung in iOS „gezielt angegriffen“ – aber Apple dementiert

Haben Unbekannte zwei Schwachstellen in iOS ausgenutzt? Das behaupten Forscher von ZecOps. Apple dementiert allerdings die Neuigkeiten.

iOS
Bildquelle: christianallard , thx! (Unsplash Lizenz)

Schlechte PR für Apple: Die Mail-Anwendung in iOS ist offenbar von zwei Zero-Day-Schwachstellen betroffen. Diese wurden seit mindestens zwei Jahren für gezielte Angriffe ausgenutzt. Das berichten die Sicherheitsforscher von ZecOps. Apple will davon aber angeblich nichts wissen.


ZecOps informierte Apple über Schwachstelle in iOS

Laut ZecOps bestehen die Schwachstellen seit iOS 6. Das Unternehmen meldete nach dem Fund seine Ergebnisse im Februar an Apple und informierte über Angriffe, die jene Mängel ausnutzten. Andere E-Mail-Anwendungen für iOS wie beispielsweise Gmail und Outlook sind anscheinend aber nicht betroffen.

Die Sicherheitslücken betreffen die MobileMail-Anwendung auf iOS 12 und auf iOS 13. Sie können ausgenutzt werden, indem „speziell gestaltete E-Mails an den Zielbenutzer gesendet werden.“ Das Ausnutzen der Fehler führt dazu, dass der Angreifer zugriff auf die E-Mails erhält. Die Forscher von ZecOps glauben, dass die Unbekannten diese auch mit einer Kernel-Schwachstelle kombinierten, die ihnen möglicherweise vollen Zugriff auf das Gerät ermöglicht.

Opfer auf der ganzen Welt

Die Cybersicherheitsfirma sagt, die Angriffe richteten sich gegen Einzelpersonen, darunter eine „sehr wichtige“ Person aus Deutschland, eine Führungskraft einer Fluggesellschaft in Japan und einen Journalisten aus Europa.

ZecOps-Forscher stellten fest, dass die Angriffe zu temporären Verlangsamung oder einem Absturz der E-Mail-Anwendung führen kann. Und: „Wir glauben, dass diese Angriffe mit mindestens einem nationalstaatlichen Bedrohungsbetreiber oder einem Nationalstaat korrelieren, der die Ausnutzung von einem Drittforscher in einer Proof-of-Concept (POC)-Einstufung erworben und in der vorliegenden Form oder mit geringfügigen Modifikationen verwendet hat“, sagte ZecOps.

Apple: Keine Schwachstelle gegen Kunden verwendet

Apple bestätigt diese Geschichte indes nur teilweise. Zwar sei die Mail-Anwendung für iOS von einigen Schwachstellen betroffen. Der US-amerikanische Tech-Titan bestreitet aber, dass jemand die Schwachstelle auch tatsächlich ausnutzte. Apple sagt außerdem, es habe den Bericht von ZecOps ausgewertet, aber festgestellt, dass „diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen.“

Tarnkappe.info

Student und schon lange im Journalismus unterwegs. In der Vergangenheit Mitarbeiter für eine Vielzahl von klassischen Printzeitungen und Newsportalen. Erst für Lokalredaktionen, dann Sport und Gaming, seit Anfang 2020 im Dienst für die Tarnkappe. Abseits davon bin ich vor allem interessiert an Geopolitik, Geschichte und Literatur.