Kürzlich wurde bekannt, dass die Mail-App auf dem iPhone und dem iPad bereits seit iOS 6 von eine schweren Sicherheitslücke betroffen ist, durch die ein Angreifer potenziell die Mails des Opfers abfangen, verändern oder auch löschen kann. Entsprechend groß war die Aufregung unter einigen Nutzern und der Ruf nach einer baldigen Veröffentlichung eines Updates, welches die Lücke stopft. In der zweiten Beta von iOS 13.4.5 ist dies bereits der Fall. Nun hat Apple offiziell auf das Thema in einem Statement reagiert, welches unter anderem den Kollegen von MacRumors vorliegt. Nach Aussage des Unternehmens geht von der Lücke keine unmittelbare Gefahr für die Nutzer aus. So gibt Apple an:

"Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher's report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users. The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers. These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance."

Zusammengefasst schreibt Apple, dass es sich nicht nur um eine, sondern um drei Lücken handelt, die jedoch jede für sich harmlos seien. Eine Gefahr entsteht nur dann, wenn alle drei Probleme gleichzeitig ausgenutzt werden, was nach Apples Informationen bei noch keinem Nutzer der Fall gewesen sei. Dennoch werde man die bekannten Lücken selbstverständlich in einem demnächst erscheinenden iOS-Update beheben. Ob es sich dabei um das angesprochene iOS 13.4.5 handeln und wann die Aktualisierung erscheinen wird, ist allerdings aktuell unklar.

Während die derzeit aktuellste in Umlauf befindliche offizielle iOS/iPadOS Version die 13.4.1 ist, befindet sich Version 13.4.5 bereits im Betatest. Bislang wurde dieser Vorabversion keine größere Bedeutung beigemessen, ging man doch davon aus, dass es sich um ein reines Bugfix-Update handeln würde. Dies ist auch absolut der Fall, allerdings befindet sich ein Bugfix in dieser Version, die eine durchaus größere Bedeutung haben dürfte. So haben die Sicherheitsforscher von ZecOps eine schwere Sicherheitslücke in Apples Mail-App unter iOS entdeckt, die offenbar auch schon von Angreifern ausgenutzt wurden, wie Motherboard und das Wall Street Journal berichten.

Bei der Lücke kann ein Angreifer laut ZecOps dem Opfer eine Mail schicken, die eine große Menge an Speicher beansprucht. Ist dieser Angriff erfolgreich, kann der Angreifer die Mails des Opfers abfangen, verändern oder auch löschen. Angeblich wurden auf diese Weise bereits mindestens die folgenden Nutzer angegriffen:

• Mitarbeiter eines Fortune 500 Unternehmens aus Nordamerika
• Ein Manager eines japanischen Speditionsunternehmens
• Ein deutscher VIP
• Managed Security Service Provider (MSSPs) aus Saudi Arabien und Israel
• Ein europäischer Journalist

Von den Problemen betroffen sind offenbar sämtliche iOS-Versionen von iOS 6 bis iOS 13.4.1. In der aktuellsten Beta von iOS 13.4.5 soll Apple die Lücken laut ZecOps geschlossen haben. Eine Veröffentlichung für alle Nutzer dürfte in den kommenden Wochen bevorstehen. Möchte man komplett auf Nummer sicher gehen, empfiehl ZecOps bis zur Veröffentlichung die Nutzung einer alternativen E-Mail App wie Gmail oder Outlook, die offenbar nicht von dem Problem betroffen sind.

Sollte sich ein aktueller Bericht des Bloomberg Kollegen Mark Gurman bestätigen, könnte iOS 14 in diesem Jahr eine echte Zäsur darstellen. Demzufolge soll Apple nämlich darüber nachdenken, es iPhone- und iPad-Nutzern ab iOS 14 freizustellen, welche Anwendungen sie künftig als Standard-Apps für Mail und Webbrowser verwenden wollen. Damit würde der seit der ersten iOS-Version bestehende Zwang zu den vorinstallierten Apps Safari und Mail wegfallen. Der Bericht kommt zu einem durchaus spannenden Zeitpunkt, wurden in den vergangenen Monaten doch immer mehr Stimmen laut, die Apple dafür kritisieren, dass man den eigenen Apps einen wettbewerbswidrigen Vorteil gegenüber Drittanbieter-Apps einräumen würde. Die Öffnung des Systems bei zwei der wohl am häufigsten genutzten Apps auf dem iPhone und iPad wäre nicht nur ein Schritt auf die Kritiker zu, sondern würde einen großen Einschnitt in Apples bisherige Politik darstellen. Für den Wettbewerb kann dies nur gut sein. Im Endeffekt ist aber vermutlich davon auszugehen, dass die meisten Nutzer weiterhin bei Safari und Mail bleiben, da beide Apps einfach wirklich gut durchdacht sind und einwandfrei funktionieren.

Manchmal muss man sich schon die Frage stellen, wie manche Dinge eigentlich so entstehen. Keine Frage, Apple ist sicherlich ein Vorreiter in Sachen Datenschutz im Silicon Valley, daher ist die Entdeckung, die der IT-Spezialist Bob Gendler (via The Verge) nun gemacht hat umso unverständlicher. Gendler hat nämlich eine schwere Sicherheitslücke in der Mail-App unter macOS entdeckt, durch die eigentlich verschlüsselte Mails in Klartext auf dem Mac gespeichert werden. Dies geschieht offenbar im Zusammenhang mit der Vorschlagsfunktion für Kontakte über Siri, erfolgt aber auch dann, wenn Siri deaktiviert ist. Laut Gendler werden Mails hierzu in Klartext in einer Datenbank namens snippets.db auf dem Mac gespeichert. Dies trifft auf macOS Catalina zu und geht zurück bis macOS Sierra.

Um die Sache noch schlimmer zu machen, hat Gendler den Bug bereits seit Ende Juli versucht über mehrere Wege bei Apple zu melden - ohne Erfolg. Erst als sich der IT-Spezialist nun an The Verge wandte, nahm man die Sache in Cupertino offenbar endlich ernst. So hat man den Kollegen gegenüber inzwischen verlautbaren lassen, dass man das Problem in einem künftigen Softwareupdate beheben wird.

Das Problem selbst betrifft zwar nur eine gewisse Anzahl von Nutzern (wie Apple auch noch einmal betont) und ist nur dann ein echtes Problem, wenn man beispielsweise die macOS-Funktion FileVault deaktiviert hat, dennoch wirft Apples Umgang mit derlei Meldungen mal wieder ein äußerst schlechtes Licht auf das Unternehmen. Bereits mehrfach haben sich Entwickler und Sicherheitsspezialisten in der Vergangenheit über den unklaren Weg beschwert, wie und auf welchem Wege man denn nun Bugs an Apple melden soll und wie es danach weitergeht. Der aktuelle Fall liefert nun in weiteres Negativ-Beispiel in dieser Richtung.

Ein Team von Sicherheitsforschern der FH Münster hat am heutigen Tage eine Sicherheitslücke in der PGP/GPG- bzw. S/MIME-Verschlüsselung von E-Mails publik gemacht, durch die eigentlich als verschlüsselt versendete E-Mails in Klartext ausgegeben werden können. Betroffen sind hiervon sowohl aktuelle E-Mails, als auch solche, die bereits in der Vergangenheit verschickt wurden. Zwar gibt es aktuell keine verlässlichen Maßnahmen gegen die inzwischen unter der Bezeichnung "Efail" bekannten Lücke, allerdings ist ihre Relevanz in der Praxis auch nicht abschließend geklärt.

Während die Electronic Frontier Foundation (EFF) eine offizielle Warnung zu der Schwachstelle veröffentlicht hat, sehen unter anderem der Sicherheitsexperte Alec Muffet oder auch der GPG-Entwickler Werner Koch die Auswirkungen nicht so dramatisch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen ebenfalls eine Stellungnahme veröffentlicht, in der man die Meinung äußert, dass die genannten E-Mail-Verschlüsselungsstandards auch weiterhin sicher eingesetzt werden können, "wenn sie korrekt implementiert und sicher konfiguriert werden".

Damit durch die Lücke Schaden angerichtet werden kann, muss ein Angreifer zum einen Zugriff auf den Übertragungsweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zum anderen muss beim Empfänger beispielsweise die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte, wie beispielsweise von Grafiken aktiviert sein. Laut BSI haben die Hersteller der gängigen Mailclients bereits Updates ihrer Produkte angekündigt oder sogar schon bereitgestellt.

Wer sich bis zur Bereitstellung der entsprechenden Updates kurzfristig gegen die Lücke schützen möchte, kann seinen Mailclient auch so konfigurieren, dass er gegen einen möglichen Angriff immun ist. Unter anderem sollten hierzu sämtliche GPGTools/GPGMail Encryption-Plugins vorerst deinstalliert werden. Hierfür steht inzwischen eine Schritt-für-Schritt-Anleitung bereit. Für Mail auf dem Mac geht man dabei folgendermaßen vor:

• Apple Mail beenden (CMD-Q)
• In der Menüleiste des Finders auf "Gehe zu" klicken
• Unterpunkt "Gehe zum Ordner..." auswählen
• In die Adresszeile eingeben: ~/Library/Mail/Bundles
• Datei GPGMail.mailbundle in den Papierkorb verschieben
• mit dem Administrator-Passwort bestätigen

Es darf davon ausgegangen werden, dass Apple in Kürze ein entsprechendes Update für Mail am Mac bereitstellen wird. Weitere Anleitungen existieren zudem auch für Mozilla Thunderbird mit Enigmail und Microsoft Outlook mit GPG4win.

Seit der Veröffentlichung von OS X Mavericks kämpft Apples Mail-App auf dem Mac mit diversen Kinderkrankheiten. Die Fehlermeldungen reichen dabei von nicht eingehenden E-Mails bis hin zu Problemen beim Löschen oder Verschieben von Nachrichten. Im November vergangenen Jahres veröffentlichte man daher ein separates Update für die Mail-App, gefolgt von weiteren Verbesserungen, die mit OS X 10.9.1 kommen sollten. Verschiedene Probleme bestehen aber bis heute, so dass es nicht weiter verwundert, dass Apple die Entwickler in der aktuellen Beta von OS X 10.9.2 weiterhin darum bittet, die Mail-App auf Herz und Nieren zu testen. Ein weit verbreitetes Problem ist, dass E-Mails nur direkt nach dem Start der App und anschließend nicht mehr abgerufen werden. Inzwischen hat Apple hierfür einen einigermaßen abenteuerlichen Workaround veröffentlicht, der das von verschiedenen Nutzern praktizierte Schließen und anschließende Öffnen der App überflüssig macht. Stattdessen beschreibt Apple den folgenden Weg:

1. Postfach > Alle Accounts offline schalten.
2. Postfach > Neue E-Mails empfangen.

Um dis zu beschleunigen, kann man die beiden Befehle auch in die Symbolleiste verschieben:

1. Darstellung > Symbolleiste anpassen.
2. Die Buttons für die beiden oben genannten Befehle in die Symbolleiste verschieben.
3. Fertig.
   

Zum Empfangen von Mails müssen nun die beiden Buttons in der oben beschriebenen Reihenfolge geklickt werden. Klingt komisch, ist aber so.