Update 24. April 9:15 Uhr: BSI Warnt vor Mail-App

Mittlerweile hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Lücke gewarnt. "Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren", erklärt Präsident Arne Schönbohm in einem Statement. Die behörde empfiehlt, die Mail-App sofort vom iPhone zu löschen oder zumindest die Synchronisation abzuschalten. Letzteres ist zu empfehlen, wenn ein POP-Account genutzt wird und keine Daten verloren gehen sollen. DIe Option findet sich in den Einstellungen unter "Mail". Statt der Mail-App solle man bis zur Behebung der Lücke ein anderes Mail-Programm oder Webmail nutzen. Sobald das Update auf 13.4.5 erscheint, sollte man sofort updaten.

Ursprüngliche Meldung vom 23. April:

Es geht schnell: Eine E-Mail kommt im Postfach an und der Angriff hat begonnen. Ganz ohne Interaktion des Nutzers lässt sich das aktuelle iOS 13.4.1 über die vorinstallierte Mail-App angreifen. Und tatsächlich scheinen ausgewählte Ziele Opfer der hochentwickelten Hacker zu werden. Die Attacken laufen seit mindestens 2018.

Das haben die Sicherheitsexperten von ZecOps herausgefunden. Sie wurden durch eine Anfrage eines Kunden auf einen der Angriffe aufmerksam - und konnten in monatelanger Arbeit die Funktionsweise des Hacks verstehen. Der beruht stark vereinfacht darauf, dass das Speichermanagement der Mail-App überfordert wird und dann das Einschleusen von Schadprogrammen erlaubt ("Remote Heap Overflow"). Eine zweite, ebenfalls bei der Untersuchung gefundene Lücke mit ähnlicher Funktionsweise wurde nach Ansicht der Forscher von den Hackern nur versehentlich ausgelöst.

Angriff auf Bosse und VIPs

Nachdem die Lücke - die gemeinsam mit weiteren auch eine Übernahme des Geräts erlauben könnte - entdeckt wurde, konnten die Forscher ihre Nutzung auch mit anderen Fällen in Verbindung bringen. Ihrer Ansicht nach wurde unter anderem Mitarbeiter eines Fortune-500-Konzern aus den USA, japanische Manager, ein deutscher VIP sowie Sicherheitsfirmen und ein europäischer Journalist mit dieser Methode angegriffen. Den ersten Angriff über diese Methode konnten die Forscher Ende 2018 nachweisen, eventuell wurde sie aber auch schon früher benutzt.

Die Auswahl der Ziele, die technische Finesse der Attacke und einige Indizien wie bereits vorher genutzter Programmcode deuten laut den Forschern darauf hin, dass ein bestimmter Staat hinter den Angriffen steht, den ZecOps allerdings absichtlich nicht nennt. Zudem sei es denkbar, dass die Methode von Dritten an andere Staaten verkauft worden sei. Ein bekannter Händler für solch hochentwickelte Angriffswerkzeuge ist etwa die in Israel beheimatete NSO Group.

Angriff ohne Spuren

Die Opfer dürften von der Attacke oft gar nichts mitbekommen haben, selbst die Mail war kein Hinweis. Die Forscher konnten in mehreren Fällen zwar Anzeichen für den Angriff, aber nicht die auslösende E-Mail finden. Sie vermuten, dass einerseits nur ein teilweises Herunterladen der Mail für den erfolgreichen Angriff ausreicht, andererseits aber auch die Hacker nach erfolgreicher Attacke die Mails einfach verschwinden ließen. Eine Interaktion mit der Mail war nur unter iOS 12 nötig, in der aktuellen Version reicht die bloße Verarbeitung der Nachricht durch die Mail-App, um den Fehler auszulösen.

Für Apple dürfte es besonders ärgerlich sein, dass der Fehler so lange bestehen konnte: Seit mindestens iOS 6 ist jede Version von iOS betroffen, ältere Systeme hatten die Forscher nicht geprüft. Dass Apple die Lücke nicht fand, kann man dem Konzern kaum vorwerfen: Solange sie nicht zufällig bei einem Angriff entdeckt wird, werden solch komplexe Angriffsszenarien kaum bekannt, sondern in der Regel für viel Geld verkauft. Für Massenangriffe werden sie quasi nie benutzt. Normalnutzer müssen sich also kaum Sorgen um diese Art von Lücken machen.

iOS-Beta ist bereits sicher

Sobald Apple von den Forschern auf den Fehler hingewiesen wurde, reagierte der Konzern trotzdem schnell: Der Fehler ist in der aktuellen Beta iOS 13.4.5 bereits behoben, berichten die Forscher. Auch wenn es noch keinen offiziellen Termin gibt, wann die Version auch bei den Kunden ankommt, wird die Lücke also bald von allen Geräten verschwinden. Die Beta war letzte Woche erschienen.

Das kurze Zeitfenster sei auch der Grund für die ungewöhnliche Entscheidung, den Fehler vor dem Beheben zu veröffentlichen, erklärt ZecOps. Weil die Hacker bereits durch die Beta wissen werden, dass ihr Angriffsvektor geschlossen wird, dürften sie ihn in den letzten Tagen vor dem Abschalten verstärkt nutzen wollen. Daher wollten die Forscher mögliche Betroffene besonders aufmerksam machen. Andere Hacker hätten ohnehin nichts von dem Wissen: Der Angriff macht nur dann Sinn, wenn man den Fuß in der Tür auch mit weiter, hochentwickelter Software nutzen kann.

Quelle: ZecOps

