BSI warnt vor Sicherheitslücke der iOS E-Mail-App – mögliche Lösungswege.
von Dennis Trescher
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt aktuell vor dem Einsatz der iOS-App „Mail“. Aufgrund von zwei schwerwiegenden Sicherheitslücken ist es Angreifern möglich, das entsprechende Gerät (iOS und iPadOS) zu kompromittieren. MacOS ist von der Sicherheitslücke nicht betroffen.
Verfasst von
Hinweis: Apple hat die im Beitrag angesprochene Sicherheitslücke mit iOS 13.5 offenbar geschlossen. Für ältere Geräte steht ebenfalls ein Patch bereit, diese können auf iOS 12.4.7 aktualisiert werden. Die Informationen stammen mit ZecOps von der Sicherheitsfirma, die die Lücken in iOS ursprünglich gemeldet hatte.
Sicherheitslücke auf allen iOS Versionen ab iOS 6.
Um das Endgerät zu kompromittieren, reicht der Versand einer E-Mail an das entsprechende Gerät. Angreifern wird damit potenziell das Lesen, Verändern und Löschen von E-Mails ermöglicht. Aus diesem Grund schätzt unter anderem das BSI die Lücke als besonders kritisch ein. Ob darüber hinaus eine weitere Kompromittierung des Geräts möglich ist, wird aktuell noch geprüft.
Kein Patch verfügbar.
Derzeit steht noch kein Patch von Apple bereit. Die einzige Möglichkeit, um die Endgeräte zu schützen, ist die Deaktivierung der E-Mail-Synchronisation oder das Löschen der App. Der BSI-Präsident Arne Schönborn äußert sich auf der Website des BSI dazu wie folgt:
"Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen."
Die offiziellen Empfehlungen des BSI zum weiteren Vorgehen sind:
- Löschen der App "Mail" oder Abschaltung der Synchronisation
- Nach Umsetzung von Punkt 1 kann zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegriffen werden
- Das von Apple angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es zur Verfügung steht
Lösungsmöglichkeiten für Kunden mit EMM-/MDM-System.
Kunden mit einem EMM-System zur Verwaltung der Gräte sollten folgendermaßen auf die Bedrohung reagieren: Der E-Mail-Sync für die „Mail“-App sollte vom EMM zentral unterbunden werden. Auf sogenannten Supervised-Geräten mit erweiterten Management-Schnittstellen kann darüber hinaus die Mail-App ausgeblendet werden.
Um den Zugriff auf E-Mails weiter gewährleisten zu können, wird parallel ein Wechsel auf die E-Mail-App des jeweiligen UEM-Anbieters empfohlen.
EMM-/MDM-Anbieter | App Alternative |
MobileIron (Core & Cloud) | MobileIron E-Mail+ |
VMware Workspace ONE UEM | VMware Boxer |
Microsoft Intune / Endpoint Manager | Microsoft Outlook |
Citrix Endpoint Manger | Citrix Secure Mail |
BlackBerry | BlackBerry Work |
Sowohl die App als auch die Konfiguration innerhalb der Anwendung können über das EMM-System automatisiert bereitgestellt werden.
Auch ohne ein Managementsystem ist es möglich, bei Bedarf auf Alternativen umzusteigen. So steht die Microsoft Outlook App generell für iOS zur Verfügung. HCL (ehemals IBM) Notes Kunden können auf HCL Verse wechseln.
Installation des iOS Patches erzwingen.
Sobald Apple einen Patch zur Verfügung stellt, sollten die Geräte schnellstmöglich aktualisiert werden. Auch hier spielt das EMM-System wieder eine tragende Rolle. Compliance-Policies können verwendet werden, um das Update zu erzwingen und die Synchronisation auf unsicheren Geräten automatisch zu deaktivieren.
Der Teufel steckt im Detail.
Eine pauschale und vollumfängliche Lösung steht derzeit noch nicht zur Verfügung. Bei allen Lösungsansätzen gibt es unterschiedliche Hürden zu überwinden. Die Bechtle Mobility Consultants aus unseren Competence Centern stehen Ihnen für Rückfragen gerne zur Verfügung.
Beitrag weiterempfehlen
