Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnmeldung für iOS ausgegeben. Der Grund sind mehrere Sicherheitslücken in der Mail-App, die Forschern zufolge die Schadcode-Einschleusung erlauben sollen und angeblich bereits aktiv ausgenutzt werden. Das BSI stuft sie als sehr kritisch ein, Apple widerspricht den Entdeckern der Schwachstelle.
"So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App 'Mail' unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren. [...] Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden", erläutert das BSI.
Bild: Apple.
Apple hat verschiedenen US-Medien inzwischen eine Stellungnahme zukommen lassen. Demnach soll von den Schwachstellen derzeit keine unmittelbare Gefahr für Nutzer ausgehen. Mit einem bald erscheinenden Update will der Hersteller die Sicherheitslücken schließen. In der Mitteilung aus Cupertino heißt es:
"Apple nimmt alle Berichte über Sicherheitsbedrohungen ernst. Wir haben den Bericht des Forschers gründlich untersucht und sind auf der Grundlage der zur Verfügung gestellten Informationen zu dem Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen. Der Forscher identifizierte drei Probleme in Mail, aber sie allein reichen nicht aus, um die Sicherheitsvorkehrungen für iPhone und iPad zu umgehen, und wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden. Diese potenziellen Probleme werden demnächst in einem Software-Update behandelt. Wir schätzen unsere Zusammenarbeit mit Sicherheitsforschern, um die Sicherheit unserer Benutzer zu gewährleisten, und werden dem Forscher für seine Hilfe Anerkennung zollen."
Ob es sich bei dem kommenden Betriebssystemupdate um das für Mai erwartete iOS 13.4.5 handelt oder ob Apple vorher eine kleinere Aktualisierung (Version 13.4.2) herausgeben wird, bleibt unklar.