iOS: Kritische Sicherheitslücke in Mail-App

[MichaNbg]

<div class="bbWrapper">Da fehlte noch ein „die ihren Job und It-Sec <i>ernst nehmen“</i>.... Egal.<br /> <br /> <blockquote data-attributes="member: 217507" data-quote="Jan Gruber" data-source="post: 5472339" class="bbCodeBlock bbCodeBlock--expandable bbCodeBlock--quote js-expandWatch"> <div class="bbCodeBlock-title"> <a href="/community/goto/post?id=5472339" class="bbCodeBlock-sourceJump" rel="nofollow" data-xf-click="attribution" data-content-selector="#post-5472339">Jan Gruber schrieb:</a> </div> <div class="bbCodeBlock-content"> <div class="bbCodeBlock-expandContent js-expandContent "> Ich fürchte, dem ist so. Mir tuts bis heute in der Seele weh, dass ich Outlook vorgeben musste <img src="/community/styles/apfeltalk/smilies/Smiling Face.png" class="smilie" loading="lazy" alt=":D" title="Big Grin :D" data-shortname=":D" /> </div> <div class="bbCodeBlock-expandLink js-expandLink"><a role="button" tabindex="0">Zum Vergrößern anklicken....</a></div> </div> </blockquote>Könnte schlimmer sein. Ihr hättet auf BlackBerry Work und die dazu gehörigen Services setzen können. Vergleichsweise sicher ... aber user experience aus der Hölle.</div>

 

[Jan Gruber]

<div class="bbWrapper"><blockquote data-attributes="member: 217060" data-quote="MichaNbg" data-source="post: 5472341" class="bbCodeBlock bbCodeBlock--expandable bbCodeBlock--quote js-expandWatch"> <div class="bbCodeBlock-title"> <a href="/community/goto/post?id=5472341" class="bbCodeBlock-sourceJump" rel="nofollow" data-xf-click="attribution" data-content-selector="#post-5472341">MichaNbg schrieb:</a> </div> <div class="bbCodeBlock-content"> <div class="bbCodeBlock-expandContent js-expandContent "> Könnte schlimmer sein. Ihr hättet auf BlackBerry Work und die dazu gehörigen Services setzen können. Vergleichsweise sicher ... aber user experience aus der Hölle. </div> <div class="bbCodeBlock-expandLink js-expandLink"><a role="button" tabindex="0">Zum Vergrößern anklicken....</a></div> </div> </blockquote><br /> Ich hätte ganz viel gekonnt. Aber Office 365 ist in Summe leider echt ein No Brainer. Und in absichtlich gemischter Infrastruktur (Win, Mac, Android, iOS) leider echt auch sehr gut :/</div>

 

[MichaNbg]

<div class="bbWrapper"><blockquote data-attributes="member: 217507" data-quote="Jan Gruber" data-source="post: 5472342" class="bbCodeBlock bbCodeBlock--expandable bbCodeBlock--quote js-expandWatch"> <div class="bbCodeBlock-title"> <a href="/community/goto/post?id=5472342" class="bbCodeBlock-sourceJump" rel="nofollow" data-xf-click="attribution" data-content-selector="#post-5472342">Jan Gruber schrieb:</a> </div> <div class="bbCodeBlock-content"> <div class="bbCodeBlock-expandContent js-expandContent "> Ich hätte ganz viel gekonnt. Aber Office 365 ist in Summe leider echt ein No Brainer. Und in absichtlich gemischter Infrastruktur (Win, Mac, Android, iOS) leider echt auch sehr gut :/ </div> <div class="bbCodeBlock-expandLink js-expandLink"><a role="button" tabindex="0">Zum Vergrößern anklicken....</a></div> </div> </blockquote>Ohja. Microsoft macht es einem gerade verdammt schwer, nicht auf sie und Microsoft 365 zu setzen. Auch oder gerade in heterogenen Umgebungen. MS hat keinerlei Berührungsängste mehr und liefert integrierte Lösungen für die Umgebungen die ihre Kunden einsetzen.<br /> <br /> wie sich das langfristig entwickelt... gute Frage. Aber im Moment liefern sie nahezu alternativlos.</div>

 

[pallmall85]

<div class="bbWrapper">Ich würde sehr gern Outlook nutzen, aber sobald ich mich auf allen 3 vorhanden Geräten mit den anwendungsspezifischen Passwörten anmelde, schmeißt mich Outlook mindestens auf einem Gerät wieder raus. Deswegen ist Outlook damals vom IPhone und den IPads geflogen.</div>

 

[Hollex]

<div class="bbWrapper">Also ich nutze Gmail auf meinem iPhone 11 Pro und diese App läuft für mich am besten.<br /> Spark hatte ich auch mal eine Zeit lang aber Gmail läuft für mich deutlich besser.<br /> Das einzige was Gmail noch nicht gebacken bekommt ist der Dark Mode bei mir, obwohl er schon seit Monaten ausgerollt wird/werden/sollte!<br /> <a href="https://apps.apple.com/us/app/gmail-email-by-google/id422689480" target="_blank" class="link link--external" rel="nofollow ugc noopener">https://apps.apple.com/us/app/gmail-email-by-google/id422689480</a></div>

 

[Salud]

<div class="bbWrapper"><blockquote data-attributes="member: 232341" data-quote="pallmall85" data-source="post: 5472347" class="bbCodeBlock bbCodeBlock--expandable bbCodeBlock--quote js-expandWatch"> <div class="bbCodeBlock-title"> <a href="/community/goto/post?id=5472347" class="bbCodeBlock-sourceJump" rel="nofollow" data-xf-click="attribution" data-content-selector="#post-5472347">pallmall85 schrieb:</a> </div> <div class="bbCodeBlock-content"> <div class="bbCodeBlock-expandContent js-expandContent "> Ich würde sehr gern Outlook nutzen, aber sobald ich mich auf allen 3 vorhanden Geräten mit den anwendungsspezifischen Passwörten anmelde, schmeißt mich Outlook mindestens auf einem Gerät wieder raus. Deswegen ist Outlook damals vom IPhone und den IPads geflogen. </div> <div class="bbCodeBlock-expandLink js-expandLink"><a role="button" tabindex="0">Zum Vergrößern anklicken....</a></div> </div> </blockquote>Das gleiche Problem habe ich gerade auch hier, kennt da jemand eine Lösung ?</div>

 

[Mitglied 115348]

<div class="bbWrapper"><blockquote data-attributes="member: 238358" data-quote="Hollex" data-source="post: 5472348" class="bbCodeBlock bbCodeBlock--expandable bbCodeBlock--quote js-expandWatch"> <div class="bbCodeBlock-title"> <a href="/community/goto/post?id=5472348" class="bbCodeBlock-sourceJump" rel="nofollow" data-xf-click="attribution" data-content-selector="#post-5472348">Hollex schrieb:</a> </div> <div class="bbCodeBlock-content"> <div class="bbCodeBlock-expandContent js-expandContent "> Also ich nutze Gmail auf meinem iPhone 11 Pro </div> <div class="bbCodeBlock-expandLink js-expandLink"><a role="button" tabindex="0">Zum Vergrößern anklicken....</a></div> </div> </blockquote><br /> Und hier wird gerade über etwas wie Datensicherheit/Datenschutz geschrieben. <br /> Wer Google Mail nutzt, sollte sich klar machen, dass Google vollständigen Zugriff auf jede E-Mail hat, die dort verschickt oder empfangen wird.<br /> Und darüber, dass Google diesen Zugriff auch nutzt und Daten abgreift/erhebt. Und das völlig unabhängig davon, ob der Versender das eventuell gut oder schlecht findet...</div>

 

[Hollex]

<div class="bbWrapper">Jup, ist mir bekannt bei Gmail.......aber bei Spark, Outlook und Apple Mail würde ich mich auch nicht in Sicherheit wiegen! <img src="/community/styles/apfeltalk/smilies/Wink.png" class="smilie" loading="lazy" alt=";)" title="Wink ;)" data-shortname=";)" /></div>

 

[Cohni]

<div class="bbWrapper">Kennt jemand den Hintergrund der Firma ZeCops? Haben die eine Historie in der Aufdeckung solcher Lücken?<br /> Zumindest betreiben sie laut Website auch forensische Untersuchungen und dafür sind eigentlich solche Dinge gut, um auf die Geräte zu kommen.<br /> <br /> Oder arbeiten sie quasi auf der Gegenseite und das Geschäftsmodell ist es, solche Bugs zu verhindern?<br /> <br /> Und, verkauft man dann nicht eher diese Information, das schließlich eine Firma und keine gemeinnützige Organisation?<br /> <br /> Welches Motiv? Fragen über Fragen. Ändert nichts an der Tatsache, dass die Lücke großer Mist ist.</div>

 

[Papa_Baer]

<div class="bbWrapper">Was ist’ denn aktuell für Pritvatanwender die beste Vorgehensweise? Apple Mail auf iOS und macOS deaktivieren und durch andere Anwendungen zu ersetzen?</div>

 

[Benutzer 239228]

<div class="bbWrapper">Ich bekomme vielleicht ein Mal im Jahr eine Mail deren Herkunft ich nicht kenne. Alles andere ist legitim. Was ein Aufwand das jetzt wäre den Mail-Client zu wechseln. Und in einer oder zwei Wochen kommt dann das Update. Also das kann ich mir sparen.</div>

 

[djtwok]

<div class="bbWrapper">Dann gehe ich auch mal auf Nummer sicher und habe airmail installiert. Dennoch hätte Apple da eine Warnung raus hauen sollen. Hab auch nur durch Zufall von der Lücke erfahren,</div>

 

[Mitglied 115348]

<div class="bbWrapper"><blockquote data-attributes="member: 197521" data-quote="Papa_Baer" data-source="post: 5472372" class="bbCodeBlock bbCodeBlock--expandable bbCodeBlock--quote js-expandWatch"> <div class="bbCodeBlock-title"> <a href="/community/goto/post?id=5472372" class="bbCodeBlock-sourceJump" rel="nofollow" data-xf-click="attribution" data-content-selector="#post-5472372">Papa_Baer schrieb:</a> </div> <div class="bbCodeBlock-content"> <div class="bbCodeBlock-expandContent js-expandContent "> Was ist’ denn aktuell für Pritvatanwender die beste Vorgehensweise? Apple Mail auf iOS und macOS deaktivieren und durch andere Anwendungen zu ersetzen? </div> <div class="bbCodeBlock-expandLink js-expandLink"><a role="button" tabindex="0">Zum Vergrößern anklicken....</a></div> </div> </blockquote><br /> Nach derzeitigem Kenntnisstand ist macOS nicht betroffen.<br /> <br /> Bei iOS ist es wohl eine persönliche Risikoabschätzung. <br /> Zum Ausnutzen der Lücke reicht es wenn man Deine Email-Adresse kennt. Der „Schaden“ kann schon beim Empfang der Mail unter iOS eintreten, quasi unbemerkt und ohne Dein eigenes Zutun, also ohne öffnen der Mail. Wie groß die Wahrscheinlichkeit für Dich/jemanden ist, Ziel eines solchen Vorgehens zu sein...? Ich weiß auch nicht wie groß der Aufwand für diese Art des schädlichen Vorgehens ist, also ob das quasi wie Spam automatisiert abläuft usw. Andererseits hätte man dann höchstwahrscheinlich bereits mehr davon gehört.<br /> <br /> Was Du tun kannst: Um das Problem bis auf weiteres zu umgehen, reicht es die Synchronisation von E-Mail-Accounts abzuschalten und die Mail-App unter iOS nicht mehr zu verwenden. Das kann man in den Einstellungen unter &quot;Passwörter &amp; Accounts&quot; steuern, der Datenabruf sollte hier auf manuell gestellt werden, Push muss man dabei zudem deaktivieren bis der Apple-Patch vorliegt. Quelle: heise.de</div>

 

[arminrc]

<div class="bbWrapper">Ich verstehe leider nicht welcher „Schaden“ denn nun entstehen kann?!</div>

 

[Balkenende]

<div class="bbWrapper">Code einschleusen - Speicherüberlauf - Übernahme des Gerätes und damit der Daten</div>

 

[User]

<div class="bbWrapper">Ich habe gestern Abend noch Outlook installiert. Und die Mail App gelöscht. Das gute an der Sache. Alle Accounts bleiben auf dem iPhone gespeichert. Das heißt, sobald Apple Mail wieder sicherer ist, genügt ein installieren der überarbeiteten Mail App und das einfache aktivieren der aktuell stillgelegten Accounts.<br /> <br /> Was den Datenschutz angeht. Man muss ja nicht den Microsoft-Sync Dienst nutzen wenn eine E-Mailadresse angelegt. Einfach auf &quot;manuell hinzufügen&quot; klicken und ein klassisches IMAP Konto (wie es bei Apple Mail auch ist) anlegen. Denn werden die PW für die Email-Accounts auch nicht bei Microsoft gespeichert.</div>

 

[Mitglied 115348]

<div class="bbWrapper">Wenn man sich die einschlägigen US-Seiten zu der Lücke (in Ruhe) durchliest, kann man auch zu einem etwas entspannteren Fazit kommen. Es scheint ein begrenzter Kreis von tatsächlich gefährdeten Nutzern zu sein und der „Angriff“ ist wohl auch kein adhoc Massenvorgang. Ich betone, man „kann“. Andererseits kann man beim Stöbern auch ziemlich schnell in Verschwörungstheorie- und Aluhutecken abrutschen...[emoji6]</div>

 

[Balkenende]

<div class="bbWrapper">Ruhe sollte man bewahren. Thema ist, dass die Lücke bzw. Software zu deren Ausnutzung auf dem Markt erhältlich ist, sich allerdings nach dem, was man weiß, in Grenzen hält. <br /> <br /> Kombiniert mit der Tatsache, dass die Lücke Jahre existiert und Abhilfe mit dem SW - Update in Sicht ist, kann jetzt jeder eine rationelle Entscheidung treffen, <br /> <br /> A. Abzuwarten und nichts zu ändern,<br /> B. Alle Automatismen in Mail abzuschalten, die App nicht zu nutzen und das Update abzuwarten oder<br /> C. Mail zu löschen.</div>

 

[dr-eisbach]

<div class="bbWrapper">Mail gelöscht und Outlook installiert. Gefällt mir sogar auf den ersten Blick viel besser. Ist deutlich performanter und aufgeräumter als Mail. <br /> <br /> Ich werde mich seit über 10 Jahren wohl doch mal bei den Windows Laptops umschauen müssen. Das hier ist schon ein heftiger Vertrauensbruch. Und nicht der erste.</div>

 

[Cohni]

<div class="bbWrapper"><blockquote data-attributes="member: 82232" data-quote="Balkenende" data-source="post: 5472387" class="bbCodeBlock bbCodeBlock--expandable bbCodeBlock--quote js-expandWatch"> <div class="bbCodeBlock-title"> <a href="/community/goto/post?id=5472387" class="bbCodeBlock-sourceJump" rel="nofollow" data-xf-click="attribution" data-content-selector="#post-5472387">Balkenende schrieb:</a> </div> <div class="bbCodeBlock-content"> <div class="bbCodeBlock-expandContent js-expandContent "> Ruhe sollte man bewahren. </div> <div class="bbCodeBlock-expandLink js-expandLink"><a role="button" tabindex="0">Zum Vergrößern anklicken....</a></div> </div> </blockquote>Das sehe ich auch so. Eine differenzierte Betrachtungsweise ist wie immer angebracht. Ich versuche mal, vor allem für mich selber, zusammenzufassen.<br /> <br /> 1. Es besteht ein massives Sicherheitsproblem.<br /> <br /> 2. Es scheint, als ob die Lücke eines gewissen und nicht unerheblichen Aufwand bedarf, um überhaupt ausgenutzt zu werden, was...<br /> <br /> 3. ...darauf hindeuten könnte, dass eher Einzelpersonen Ziel sind, also gezielt vorgegangen wird. Muss jeder selber entscheiden, ob er zu einem potentiellen Ziel gehört.<br /> <br /> 4. Es gibt eine zunächst einfache Methode, nämlich durch Verwendung eines alternativen Clients, diesem Sicherheitsproblem zu entkommen.<br /> <br /> Ob und wie man letztendlich reagiert, sollte wie <a href="https://test.apfeltalk.de/community/members/82232/" class="username" data-xf-init="member-tooltip" data-user-id="82232" data-username="@Balkenende">@Balkenende</a> es betont, in Ruhe und mit den erwähnten Punkten A,B,C entschieden werden. Die Zeiten der vermeintlichen Unverwundbarkeit von Apples Software sind lange vorbei bzw. was viel eher zutreffen dürfte, es gab sie nie. Allein die Marktpräzens bestimmt die Aufmerksamkeit und Begehrlichkeiten der &quot;Schlummis&quot;, die so etwas ausnutzen.</div>