37
Laut BSI gibt es eine kritische Sicherheitslücke in allen Iphones und Tablets welche bereits durch das empfangen von Emails aktiviert wird
Moin,
laut BSI gibt es eine kritische Sicherheitslücke in alle Iphone und Tablets welche bereits durch das empfangen von Emails aktiviert wird.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_ ...
https://www.spiegel.de/netzwelt/apps/apple-mail-app-betroffen-bundesamt- ...
Was sagt man den Kunden?
Bitte auf allen Apple-Geräte Email deaktvieren. Ein Update gibt es mit der nächsten IOS Version im laufe des Jahres?
Das wird doch keiner machen....
Vorschläge?
laut BSI gibt es eine kritische Sicherheitslücke in alle Iphone und Tablets welche bereits durch das empfangen von Emails aktiviert wird.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_ ...
https://www.spiegel.de/netzwelt/apps/apple-mail-app-betroffen-bundesamt- ...
Was sagt man den Kunden?
Bitte auf allen Apple-Geräte Email deaktvieren. Ein Update gibt es mit der nächsten IOS Version im laufe des Jahres?
Das wird doch keiner machen....
Vorschläge?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 567206
Url: https://administrator.de/contentid/567206
Printed on: April 19, 2024 at 11:04 o'clock
37 Comments
Latest comment
Zitat von @StefanKittel:
Was sagt man den Kunden?
Bitte auf allen Apple-Geräte Email deaktvieren. Ein Update gibt es mit der nächsten IOS Version im laufe des Jahres?
Das wird doch keiner machen....
Vorschläge?
Was sagt man den Kunden?
Bitte auf allen Apple-Geräte Email deaktvieren. Ein Update gibt es mit der nächsten IOS Version im laufe des Jahres?
Das wird doch keiner machen....
Vorschläge?
Moin,
Apple-Mail deaktivieren und anderen MUA installieren, wenn man nicht das iPhone/iPad einmotten will, bis ein Update da ist.
lks
Und so wurden wir jahrelang ausspioniert ohne es zu wissen...
1
wie man schon lange gesagt hat, Apple ist nur sicherer, weil es weniger attraktiv für Angreifer ist. Lustig wäre es, wenn es noch an einer Open-Source Bibliothek läge...
vorallem
"Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden."
und...
"Apple nimmt alle Berichte über Sicherheitsbedrohungen ernst. Wir haben den Bericht der Forscher gründlich untersucht und sind aufgrund der uns vorgelegten Informationen zu dem Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen. Die Forscher haben drei Probleme in der Mail-App identifiziert, aber diese allein reichen nicht aus, um die in iPhones und iPads integrierten Sicherheitsvorkehrungen zu umgehen. Wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden. Ein Software-Update wird diese potenziellen Probleme demnächst beseitigen. Wir schätzen unsere Zusammenarbeit mit Sicherheitsforschern, um die Sicherheit unserer Benutzer zu gewährleisten, und werden den Forschern für ihre Hilfe Anerkennung zollen."
dann ist ja alles gut.
vorallem
"Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden."
und...
"Apple nimmt alle Berichte über Sicherheitsbedrohungen ernst. Wir haben den Bericht der Forscher gründlich untersucht und sind aufgrund der uns vorgelegten Informationen zu dem Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen. Die Forscher haben drei Probleme in der Mail-App identifiziert, aber diese allein reichen nicht aus, um die in iPhones und iPads integrierten Sicherheitsvorkehrungen zu umgehen. Wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden. Ein Software-Update wird diese potenziellen Probleme demnächst beseitigen. Wir schätzen unsere Zusammenarbeit mit Sicherheitsforschern, um die Sicherheit unserer Benutzer zu gewährleisten, und werden den Forschern für ihre Hilfe Anerkennung zollen."
dann ist ja alles gut.
1Zitat von Apple
dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen.
dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen.
Wem dürfen wir jetzt glauben? Das klingt nach einer typischen Schutzbehauptung. Wenn der reine Empfang ausreicht, ist das keine Gefahr, gell...
Wobei, Recht haben sie ja, für die Benutzer besteht keine Gefahr. Für die vertraulichen Daten schon.
Moin,
spannend wäre mal zu wissen, wie die Mail aussieht. Dann könnte man sie wegfiltern.
Liebe Grüße
Erik
spannend wäre mal zu wissen, wie die Mail aussieht. Dann könnte man sie wegfiltern.
Liebe Grüße
Erik
Moin,
laut BSI gibt es eine kritische Sicherheitslücke in alle Iphone und Tablets welche bereits durch das empfangen von Emails aktiviert wird.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_ ...
https://www.spiegel.de/netzwelt/apps/apple-mail-app-betroffen-bundesamt- ...
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_ ...
https://www.spiegel.de/netzwelt/apps/apple-mail-app-betroffen-bundesamt- ...
Lücken werden gerne als kritisch gesehen.
Was sagt man den Kunden?
Eine ehrliche Einschätzung.Vorschläge?
Nerven behalten. Denn wie funktioniert denn die Ausnutzung dieser Lücke? Eine manipulierte E-Mail mit aktivem Code? Dann könnte ich mir vorstellen, dass Hersteller von AV-Lösungen da schnell aktiv werden und solch einen Mist rausfiltern können. Und wenn man seine Infrastruktur entsprechend mit Filtern ausstattet, so kann man die Müllversender gut an der Haustür abblocken.Ich würde die Nutzer darauf hinweisen, dass man die Wahrscheinlichkeit gut reduzieren kann, sie aber bei privaten Konten vorsichtig sein sollten.
Ferner ist es nie verkehrt, sie immer wieder hinsichtlich Datenschutz und -sicherheit zu sensibilisieren.
Lücken werden gerne als kritisch gesehen.
Wenn heraus kommt, dass eine Möglichkeit besteht, machen sich sogar die Hobby Hacker schon ans Werk.Ist das nicht kritisch?
Wobei diese Lücke KEINEN generellen Zugang auf die Daten des iPhones an sich bedeutet ( kein Kernel Exploit , kein Ausbruch aus der Mail-Sandbox)
Allerdings kompletter Zugang auf alle Emails, was schlimm genug ist natürlich.
Apple macht schon sehr sehr viel für die Sicherheit ( wenn man sich in bestimmten Kreisen mal einliest), jedoch wird es 100% Sicherheit nie geben.
Und genau wie bei Windows ist natürlich im Gegensatz zu Android ( jeder kocht sein eigenes Süppchen, es gibt X Versionen, Launcher, Treiber etc., sozusagen Security by Obscurity) halt immer gleich nahezu ALLE Versionen betroffen.
Dennoch sollte das hoffentlich sehr bald gefixt sein und die das Update rausbringen. Ich vermute ja sogar schon heute Abend.
Allerdings kompletter Zugang auf alle Emails, was schlimm genug ist natürlich.
Apple macht schon sehr sehr viel für die Sicherheit ( wenn man sich in bestimmten Kreisen mal einliest), jedoch wird es 100% Sicherheit nie geben.
Und genau wie bei Windows ist natürlich im Gegensatz zu Android ( jeder kocht sein eigenes Süppchen, es gibt X Versionen, Launcher, Treiber etc., sozusagen Security by Obscurity) halt immer gleich nahezu ALLE Versionen betroffen.
Dennoch sollte das hoffentlich sehr bald gefixt sein und die das Update rausbringen. Ich vermute ja sogar schon heute Abend.
Es kommt auf die Lücke an.
Sicherheit kann man nicht in Prozenten messen. Das machen nur die Sesselpupser und Powerpoint-Helden.
Sicherheit wird immer definiert mit den Risiken, gegen die man sich absichert. Da kann man keine Prozente messen.
Das ist genaus wie man eine Super-Duper-Haustür einbau und sagt, das ist 100% sicher aber läßt dann die Terrassentür immer offen, damit die Katze jederzeit rein und raus kann.
lks
Die aktuelle Lücke ermöglicht keinen Ausbruch aus der Sandbox bzw auf weitere Daten des iPhones.
Dazu gibt es andere Artikel die das genauer beschreiben.
Man müsste also die nun bekannt gewordene Lücke mit mindestens einer weiteren kombinieren, was natürlich auch machbar aber schon deutlich schwieriger ist.Sofern kann ich die Apple-Aussage schon verstehen. Hätten die einen Kernel-Exploit veröffentlicht, hätte Apple sicher nicht so ein Statement rausgegeben.
Es ist dcoh sonnenklar,dass iPhones für den Normalo vergleichsweise sicher sind aber egal ob Linux, Windows, Mac, iOs..Lücken haben sie alle und das teilweise über Jahre, wenn nicht sogar Jahrzehnte unentdeckt.
Dazu gibt es andere Artikel die das genauer beschreiben.
Man müsste also die nun bekannt gewordene Lücke mit mindestens einer weiteren kombinieren, was natürlich auch machbar aber schon deutlich schwieriger ist.Sofern kann ich die Apple-Aussage schon verstehen. Hätten die einen Kernel-Exploit veröffentlicht, hätte Apple sicher nicht so ein Statement rausgegeben.
Es ist dcoh sonnenklar,dass iPhones für den Normalo vergleichsweise sicher sind aber egal ob Linux, Windows, Mac, iOs..Lücken haben sie alle und das teilweise über Jahre, wenn nicht sogar Jahrzehnte unentdeckt.
Sicherheit wird immer definiert mit den Risiken, gegen die man sich absichert. Da kann man keine Prozente messen.
Nun wenn du ein Risikoumfang definierst, kannst du die Umsetzung der Sicherheitsimplementierung eben doch in Relation in Prozent messen*. alles sicher wäre wohl, keine Daten, nichts tun. Das wollte er wohl auch aussagen.
- * Wie gut das ist...nun, das sagen kaum Zahlen aus. Bspw Steueraufkommen letztes Jahr, eigentlich super (für den Staat), weil riesig. Aber in Anbetracht, dass viele solide Firmen aufgrund der Steuerbelastung lieber ausgaben als Rücklagen gebildet haben fällt das nun auf die Füße.
@certifiedit.net
Korrekt genau so sehe ich das.
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
Hier noch ein etwas genauere Info zu allem..die vermuten auch dass es staatliche Angriffe waren/sind.
PS: Gleichzeitig bieten die für viel Geld eine forensische KI-gestützte Untersuchung von iOS-Exploits an....ein Schelm wer böses dabei denkt
So kann man die eigenen Produkte natürlich auch ins Rampenlicht bringen...
Korrekt genau so sehe ich das.
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
Hier noch ein etwas genauere Info zu allem..die vermuten auch dass es staatliche Angriffe waren/sind.
PS: Gleichzeitig bieten die für viel Geld eine forensische KI-gestützte Untersuchung von iOS-Exploits an....ein Schelm wer böses dabei denkt
So kann man die eigenen Produkte natürlich auch ins Rampenlicht bringen...
Die aktuelle Lücke ermöglicht keinen Ausbruch aus der Sandbox bzw auf weitere Daten des iPhones.
Datenklau reicht doch schon um es als heftig einzustufen, oder nicht?
Wenn sie erst einmal geklaut sind, finden sich auch weitere Angriffsszenarios, z.B.
- Der Anwender hat mal ein Passwort per Email bekommen
- man könnte ihn mit einem Wissen über bestimmte Sachen erpressen
- Man könnte in einem Portal auf "Passwort vergessen" gehen und abwarten, bis der Link zum zurücksetzen im Postfach landet.
Dabei dürft ihr aber nicht vergessen das fast jedes Android Gerät, dass entweder nicht mehr aktualisiert wird oder nicht mehr die letzten Sicherheitspatches bekommen schlimmer dran ist. Bis auf die neuesten und teuersten Modelle des letzten Jahres bekommen nur sehr wenige Android Geräte neue Updates. Damit fallem fast alle Android Geräte in den Bereich "Sicherheitslücke" und damit ist es eines der unsichersten Systeme der Welt (durch fehlende Updates, nicht zwingend durch Android selbst). Was empfelt ihr denn da den Kunden?
Für die Apple Geräte wird es demnächst ein Update geben und fast alle werden es bekommen, für Android Geräte gibt es bei so einem Fall höchsten für ein paar neue Geräte ein Update.
Sie zu löschen ist lächerlich, es ist die zentrale Mail App auf allen iOS Geräten. Das macht die Geräte für viele iOS User nutzlos. Mann hätte auch schreiben können, "Mail" bis zum Patch über Einstellungen - > iCloud Account zu deaktivieren. Das "Abschaltung der Synchronisation" ist sehr kryptisch für iOS User.
Es sieht so aus, als hätte die BSI-Warnung jemand geschrieben, der keine Ahnung von dem Thema hat.
Bei der nächsten Sicherheitslücke in Android sollte das BSI dann auch folgende Empfehlung rausgeben: "Bekommen sie kein Update mehr, entsorgen sie so schnell wie Möglich ihr Android Smartphone".
Wieso hat man Apple nicht die Möglichkeit gegeben, den Fehler vor dem allgemeinen Hinweis an die Befölkerung zu korrigieren. Denn es gibt bereits einen Patch dazu. In der Beta von iOS 13.4.5 ist der Fehler behoben. Dass Update ist aber noch nicht allgemein verfügbar.
Die Schwachstellen betrifft nur Apple Mail für iOS und nicht die Mail App in MacOS.
Sehe ich das nur so, oder fällt das niemanden auf?
Das Update wird in den nächsten Tagen erscheinen (nicht Monate). Es ist bereits in der 2 Beta Phase.
firefly
Für die Apple Geräte wird es demnächst ein Update geben und fast alle werden es bekommen, für Android Geräte gibt es bei so einem Fall höchsten für ein paar neue Geräte ein Update.
Das BSI empfiehlt: Löschen der App "Mail" oder Abschaltung der Synchronisation
Sie zu löschen ist lächerlich, es ist die zentrale Mail App auf allen iOS Geräten. Das macht die Geräte für viele iOS User nutzlos. Mann hätte auch schreiben können, "Mail" bis zum Patch über Einstellungen - > iCloud Account zu deaktivieren. Das "Abschaltung der Synchronisation" ist sehr kryptisch für iOS User.
Es sieht so aus, als hätte die BSI-Warnung jemand geschrieben, der keine Ahnung von dem Thema hat.
Bei der nächsten Sicherheitslücke in Android sollte das BSI dann auch folgende Empfehlung rausgeben: "Bekommen sie kein Update mehr, entsorgen sie so schnell wie Möglich ihr Android Smartphone".
Das von Apple angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es zur Verfügung steht
Wieso hat man Apple nicht die Möglichkeit gegeben, den Fehler vor dem allgemeinen Hinweis an die Befölkerung zu korrigieren. Denn es gibt bereits einen Patch dazu. In der Beta von iOS 13.4.5 ist der Fehler behoben. Dass Update ist aber noch nicht allgemein verfügbar.
Die Schwachstellen betrifft nur Apple Mail für iOS und nicht die Mail App in MacOS.
Sehe ich das nur so, oder fällt das niemanden auf?
Ein Update gibt es mit der nächsten IOS Version im laufe des Jahres?
Das Update wird in den nächsten Tagen erscheinen (nicht Monate). Es ist bereits in der 2 Beta Phase.
firefly
Zitat von @firefly:
Wieso hat man Apple nicht die Möglichkeit gegeben, den Fehler vor dem allgemeinen Hinweis an die Befölkerung zu korrigieren. Denn es gibt bereits einen Patch dazu. In der Beta von iOS 13.4.5 ist der Fehler behoben. Dass Update ist aber noch nicht allgemein verfügbar.
Wieso hat man Apple nicht die Möglichkeit gegeben, den Fehler vor dem allgemeinen Hinweis an die Befölkerung zu korrigieren. Denn es gibt bereits einen Patch dazu. In der Beta von iOS 13.4.5 ist der Fehler behoben. Dass Update ist aber noch nicht allgemein verfügbar.
Damit bist du am Kernthema vorbei, BSI macht kein Bug Bounty, sondern informiert hier über eine Schwachstelle mit einem möglichen Workaround, nicht mehr und nicht weniger.
Da muss man keinem Zeit geben, irgendwas zu patchen, sondern einfach das Risiko zu mitigieren.
Klingt irgendwie nicht anders als bei jeder x-beliebigen Windows-Maschine, die mit dem Admin-Account Mails empfängt
1
Sie informieren damit aber auch die "bösen" Jungs, die jetzt erst recht loslegen können. Die Idee die zentrale Mail-App zu deinstallieren oder abzuschalten wird der größte Teil der iOS User nicht machen - oder jemals erfahren. Das steht in keinem Verhältnis.
Der Schaden, den sie mit der öffentlichen Information anrichten ist größer, als die möglichen und nicht bestätigten Angriffe, die es evtl. bisher gab. Außerdem können selbst Sicherheitsforscher zu einer möglichen Ausnutzung der Schwachstellen gar nichts sagen. Das Sicherheitsunternehmen ZecOps, dass die Lücke entdeckt hat, gibt erst jetzt die ersten Details zur Ausnutzung raus.
Schau mal was auf der Seite vom BSI steht:
Ich habe nichst gelesen, dass Apple vom BSI informiert wurde. Die Sicherheitsfirma hat Apple kontaktiert, so dass der Fehler in iOS 13.4.5 behoben werden könnte. Mehr Info gab es dazu nicht.
Ich finde es merkwürdig und bedenklich, dass man bei dem aktuellen Stand so eine Warnung an die Öffentlichkeit raus gibt.
firefly
Der Schaden, den sie mit der öffentlichen Information anrichten ist größer, als die möglichen und nicht bestätigten Angriffe, die es evtl. bisher gab. Außerdem können selbst Sicherheitsforscher zu einer möglichen Ausnutzung der Schwachstellen gar nichts sagen. Das Sicherheitsunternehmen ZecOps, dass die Lücke entdeckt hat, gibt erst jetzt die ersten Details zur Ausnutzung raus.
Schau mal was auf der Seite vom BSI steht:
... In jedem Falle werden die Hersteller der betroffenen Produkte oder Dienstleistungen bereits vor der Veröffentlichung der Warnung informiert.
Das BSI geht mit dieser Befugnis sehr sorgsam um, denn eine öffentliche Warnung des BSI vor einem bestimmten Produkt kann für das betroffene Unternehmen unter Umständen erhebliche wirtschaftliche Folgen haben. ...
Das BSI geht mit dieser Befugnis sehr sorgsam um, denn eine öffentliche Warnung des BSI vor einem bestimmten Produkt kann für das betroffene Unternehmen unter Umständen erhebliche wirtschaftliche Folgen haben. ...
Ich habe nichst gelesen, dass Apple vom BSI informiert wurde. Die Sicherheitsfirma hat Apple kontaktiert, so dass der Fehler in iOS 13.4.5 behoben werden könnte. Mehr Info gab es dazu nicht.
Ich finde es merkwürdig und bedenklich, dass man bei dem aktuellen Stand so eine Warnung an die Öffentlichkeit raus gibt.
firefly
2
Update: Apple hat auf der Webseite The Verge ein offizielles Statement dazu abgegeben:
Grob übersetzt:
So und jetzt? Wie erklärt sich das BSI die Warnung, bei so einer dünnen Sachlage?
Ich hebe es noch mal vor:
"Der Forscher identifizierte drei Probleme in Mail, aber sie allein reichen nicht aus, um die Sicherheitsvorkehrungen für iPhone und iPad zu umgehen, und wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden".
.. und dafür gibt das BSI eine weltweite Warnung raus und empfiehlt die Deinstallation der zentralen Mail-App? Da sind wir wieder bei der Verhältnismäßigkeit.
“Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher’s report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users. The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers. These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance.”
Grob übersetzt:
"Apple nimmt alle Berichte über Sicherheitsbedrohungen ernst. Wir haben den Bericht des Forschers gründlich untersucht und sind aufgrund der vorgelegten Informationen zu dem Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen. Der Forscher identifizierte drei Probleme in Mail, aber sie allein reichen nicht aus, um die Sicherheitsvorkehrungen für iPhone und iPad zu umgehen, und wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden. Diese potenziellen Probleme werden demnächst in einem Software-Update behandelt. Wir schätzen unsere Zusammenarbeit mit Sicherheitsforschern, um die Sicherheit unserer Benutzer zu gewährleisten, und werden dem Forscher für seine Hilfe Anerkennung zollen".
So und jetzt? Wie erklärt sich das BSI die Warnung, bei so einer dünnen Sachlage?
Ich hebe es noch mal vor:
"Der Forscher identifizierte drei Probleme in Mail, aber sie allein reichen nicht aus, um die Sicherheitsvorkehrungen für iPhone und iPad zu umgehen, und wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden".
.. und dafür gibt das BSI eine weltweite Warnung raus und empfiehlt die Deinstallation der zentralen Mail-App? Da sind wir wieder bei der Verhältnismäßigkeit.
1
schau mal auf meinen Post von vor 10Uhr heute morgen...
hatte ich irgendwie überlesen. Ändert Inhaltlich an meinem Kommentar aber nichts. Danke für den Hinweis.
firelfy
Zitat von @Visucius:
Klingt irgendwie nicht anders als bei jeder x-beliebigen Windows-Maschine, die mit dem Admin-Account Mails empfängt
Klingt irgendwie nicht anders als bei jeder x-beliebigen Windows-Maschine, die mit dem Admin-Account Mails empfängt
Naja, in dem Fall ist die Lücke in der iOS Mail-App..diese läuft natürlich nicht mit "Admin-Rechten" und natürlich in der Sandbox, daher hat man ohne weitere zusätzliche Exploits KEINEN Zugriff auf das iPhone außerhalb derMail-App.
Wenn dann ist die Lage eher mit einer Windows Maschine mit eingeschränktem Benutzer, der noch dazu sein Mail-Programm in einer VM laufen lässt, vergleichbar
1
Hier der Blog des Sicherheitsunternehmen ZecOps dazu:
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
Mittlerweile wurden ein paar Details ergänzt.
Der wohl wichtigste Satz darin ist:
These bugs alone cannot cause harm to iOS users – since the attackers would require an additional infoleak bug & a kernel bug afterwards for full control over the targeted device.
Übersetzt:
Diese Fehler allein können den iOS-Benutzern keinen Schaden zufügen - da die Angreifer einen zusätzlichen Infoleak-Bug und anschließend einen Kernel-Bug benötigen würden, um die volle Kontrolle über das anvisierte Gerät zu erhalten.
Bin mir jetzt nicht sicher, ob diese Tatsache eine BSI Warnung rechtfertig und ein Löschen der Mail-App wirklich nötig ist. Aber das muss jeder selbst wissen.
@DCFan01 da hatten wir wohl beide gleichzeitig die richtige Idee. Beim ersten Lesen stand der Link noch nicht drin, daher habe ich ihn hier gepostet.
Gruß
Frank
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
Mittlerweile wurden ein paar Details ergänzt.
Der wohl wichtigste Satz darin ist:
These bugs alone cannot cause harm to iOS users – since the attackers would require an additional infoleak bug & a kernel bug afterwards for full control over the targeted device.
Übersetzt:
Diese Fehler allein können den iOS-Benutzern keinen Schaden zufügen - da die Angreifer einen zusätzlichen Infoleak-Bug und anschließend einen Kernel-Bug benötigen würden, um die volle Kontrolle über das anvisierte Gerät zu erhalten.
Bin mir jetzt nicht sicher, ob diese Tatsache eine BSI Warnung rechtfertig und ein Löschen der Mail-App wirklich nötig ist. Aber das muss jeder selbst wissen.
@DCFan01 da hatten wir wohl beide gleichzeitig die richtige Idee. Beim ersten Lesen stand der Link noch nicht drin, daher habe ich ihn hier gepostet.
Gruß
Frank
1Zitat von @Frank:
Hier der Blog des Sicherheitsunternehmen ZecOps dazu:
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
Mittlerweile wurden ein paar Details ergänzt.
Gruß
Frank
Hier der Blog des Sicherheitsunternehmen ZecOps dazu:
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
Mittlerweile wurden ein paar Details ergänzt.
Gruß
Frank
Ja hatte den Link weiter oben schon gepostet.
Dort steht unter anderem:
"Q: Why are you disclosing these bugs before a full patch is available?
A: It’s important to understand the following:
These bugs alone cannot cause harm to iOS users – since the attackers would require an additional infoleak bug & a kernel bug afterwards for full control over the targeted device."
Ist eigentlich bekannt wie der "angriff" abläuft ? um an die Mail Kontodaten auf dem iPhone zu gelangen müssen doch mehre Sicherheitsfunktionen ausgelebt werden, die Informationen liegen ja kaum in Klartext auf den Geräten...
braucht es doch gar nicht...
Ist eigentlich bekannt wie der "angriff" abläuft ? um an die Mail Kontodaten auf dem iPhone zu gelangen müssen doch mehre Sicherheitsfunktionen ausgelebt werden, ...
Apple sagt, da gibt es noch nichts, ZecOps sagt da gäb es was, ist den praktischen Beweis aber noch schuldig. Steht also Wort gegen Wort.
1
Gibt es mittlerweile ein Patch/Update?
Nein, noch nichts offiziell veröffentlich. Beta von 13.5 wäre das einzige.
Nochmal zum Verständnis. Kann durch den Bug jetzt Zugriff auf die Mails stattfinden oder nicht?
Würde ja schon als kritisch reichen, wenn dadurch Zugriff auf dem GF seine Mails möglich wäre.
Nochmal zum Verständnis. Kann durch den Bug jetzt Zugriff auf die Mails stattfinden oder nicht?
Würde ja schon als kritisch reichen, wenn dadurch Zugriff auf dem GF seine Mails möglich wäre.
Zitat von @farddwalling:
Nochmal zum Verständnis. Kann durch den Bug jetzt Zugriff auf die Mails stattfinden oder nicht?
Würde ja schon als kritisch reichen, wenn dadurch Zugriff auf dem GF seine Mails möglich wäre.
Nochmal zum Verständnis. Kann durch den Bug jetzt Zugriff auf die Mails stattfinden oder nicht?
Würde ja schon als kritisch reichen, wenn dadurch Zugriff auf dem GF seine Mails möglich wäre.
Apple sagt NEIN und die anderen sagen nicht‘s .
Von einem Kollegen der in einem Unternehmen mit BSI Zertifikate arbeitet, das sie den Versand von E-mails auf Apple Geräte blockiert haben seitens des Mail Servers... Dies könntest du evtl auch umsetzten.
Zitat von @farddwalling:
Nein, noch nichts offiziell veröffentlich. Beta von 13.5 wäre das einzige.
Nochmal zum Verständnis. Kann durch den Bug jetzt Zugriff auf die Mails stattfinden oder nicht?
Würde ja schon als kritisch reichen, wenn dadurch Zugriff auf dem GF seine Mails möglich wäre.
Nein, noch nichts offiziell veröffentlich. Beta von 13.5 wäre das einzige.
Nochmal zum Verständnis. Kann durch den Bug jetzt Zugriff auf die Mails stattfinden oder nicht?
Würde ja schon als kritisch reichen, wenn dadurch Zugriff auf dem GF seine Mails möglich wäre.
Also wenn das jeder Hinz und Kunz könnte, wäre das sicherlich längst gefixt bzw. wäre das ein größeres Thema.
Naja, aber effektiv schreiben was geht und was nicht tut auch keiner. Außer dem BSI und seiner Empfehlung. Was willst du da als Firma anders tun, als die Mailapp abzuklemmen??
Zitat von @DCFan01:
Also wenn das jeder Hinz und Kunz könnte, wäre das sicherlich längst gefixt bzw. wäre das ein größeres Thema.
Das denke ich eben auch, ich nutzte es Privat weiter...bis jetzt ohne Probleme...Also wenn das jeder Hinz und Kunz könnte, wäre das sicherlich längst gefixt bzw. wäre das ein größeres Thema.
Zitat von @Toby-ch:
Zitat von @DCFan01:
Also wenn das jeder Hinz und Kunz könnte, wäre das sicherlich längst gefixt bzw. wäre das ein größeres Thema.
Das denke ich eben auch, ich nutzte es Privat weiter...bis jetzt ohne Probleme...Also wenn das jeder Hinz und Kunz könnte, wäre das sicherlich längst gefixt bzw. wäre das ein größeres Thema.
Sag mal Deine Mailadresse! Dann sehen wir, ob Du immun bist.
lks.
PS: Nur weil man nicht "wichtig genug" ist, heißt das nicht, daß es einen nicht erwischen kann.
Zitat von @Lochkartenstanzer:
Sag mal Deine Mailadresse! Dann sehen wir, ob Du immun bist.
lks.
PS: Nur weil man nicht "wichtig genug" ist, heißt das nicht, daß es einen nicht erwischen kann.
LOL Sag mal Deine Mailadresse! Dann sehen wir, ob Du immun bist.
lks.
PS: Nur weil man nicht "wichtig genug" ist, heißt das nicht, daß es einen nicht erwischen kann.
Laut apple stürzt ja angeblich nur die mail app ab.
Zitat von @Toby-ch:
Laut apple stürzt ja angeblich nur die mail app ab.
Zitat von @Lochkartenstanzer:
Sag mal Deine Mailadresse! Dann sehen wir, ob Du immun bist.
lks.
PS: Nur weil man nicht "wichtig genug" ist, heißt das nicht, daß es einen nicht erwischen kann.
LOL Sag mal Deine Mailadresse! Dann sehen wir, ob Du immun bist.
lks.
PS: Nur weil man nicht "wichtig genug" ist, heißt das nicht, daß es einen nicht erwischen kann.
Laut apple stürzt ja angeblich nur die mail app ab.
Und laut https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/ kann man remote Code ausführen. Auch wenn es noch keine Details gibt, würde ich eher denen statt Apple glauben.
lks
Moin,
Zecops ist den Beweis bis heute schuldig geblieben. Ich würde aus der Erfahrung mit anderen "gefährlichen Bugs", die über Apples OSe veröffentlicht wurden, eher Apple glauben. Vor allem deshalb, weil es bei einem nachvollziehbaren und erfolgreichen Angriff richtig Kohle gibt. Warum also bleibt er den Beweis schuldig?
Liebe Grüße
Erik
Zitat von @Lochkartenstanzer:
Und laut https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/ kann man remote Code ausführen. Auch wenn es noch keine Details gibt, würde ich eher denen statt Apple glauben.
Laut apple stürzt ja angeblich nur die mail app ab.
Und laut https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/ kann man remote Code ausführen. Auch wenn es noch keine Details gibt, würde ich eher denen statt Apple glauben.
Zecops ist den Beweis bis heute schuldig geblieben. Ich würde aus der Erfahrung mit anderen "gefährlichen Bugs", die über Apples OSe veröffentlicht wurden, eher Apple glauben. Vor allem deshalb, weil es bei einem nachvollziehbaren und erfolgreichen Angriff richtig Kohle gibt. Warum also bleibt er den Beweis schuldig?
Liebe Grüße
Erik
1
