Apple hat zu schwerwiegenden Sicherheitslücken in Apple Mail für iPhone und iPad Stellung genommen, die bereits ausgenutzt worden sein sollen. Gegenüber der Finanznachrichtenagentur Bloomberg hieß es in der Nacht zum Freitag, man habe die Berichte "intensiv untersucht" und sehe "basierend auf den vorliegenden Informationen" kein "unmittelbares Risiko". Man werde die "potenziellen Probleme" in einem Software-Update angehen, das "bald" erscheinen werde, erklärte der Konzern.

Aussage gegen Aussage

Interessanterweise will Apple "keine Beweise" dafür gefunden haben, dass die insgesamt drei Lücken in Apple Mail bereits "gegen Kunden verwendet" worden seien. Das Sicherheitsunternehmen ZecOps hatte am Mittwoch etwas ganz anderes behauptet. Die Firma hatte die Lücken entdeckt und bekanntgemacht – noch bevor Apple einen Patch liefern konnte. Die Bugs sollen bereits seit Jahren Teil von iOS und iPadOS sein – bis hinauf zur aktuellen Version 13.4.1, wobei erst in iOS 13 eine besonders einfache Ausnutzung ohne Kontrolle über den Mailserver möglich sein soll.

Laut ZecOps lassen sich Angriffe auf diesem Weg ohne Nutzerinteraktion unbemerkt im Hintergrund ausführen. Man habe Hinweise darauf gefunden, dass die Schwachstellen in einigen Fällen bereits ausgenutzt worden seien. Es habe sich dabei um sehr gezielte Attacken gehandelt. Unter den Zielen der Angriffe seien Manager großer US-Unternehmer sowie eines japanischen Mobilfunk-Anbieters sowie ein Journalist in Europa gewesen.

BSI: "Besonders kritisch"

Apple schreibt nun, die Lücken seien "nicht ausreichend, um den Sicherheitsschutz von iPhone und iPad zu umgehen". Auch ZecOps hatte mitgeteilt, dass Angreifer noch weitere (Kernel-)Lücken benötigten, um aus Apple Mail auszubrechen und das Gesamtsystem zu übernehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält die Bugs für "besonders kritisch" und warnte, mit ihnen sei "potenziell das Lesen, Verändern und Löschen von E-Mails möglich".

Apple schreibt in seiner Stellungnahme weiter, man nehme "alle Berichte zu Sicherheitsbedrohungen ernst". Man schätze die Zusammenarbeit mit Sicherheitsexperten, "um unsere Nutzer sicher zu halten" und werde diese für ihre Hilfe offiziell erwähnen. Bis zum Erscheinen von iOS 13.4.5 beziehungsweise iPadOS 13.4.5, das die Lücken beheben soll, bleibt sinnvoll, Apple Mail auf seinem Gerät zu deaktivieren – dazu dreht man am einfachsten die Synchronisation in den Systemeinstellungen ab. Alternativ kann man Apple Mail auch komplett vom Gerät "löschen" (dadurch werden die App und die Mailaccounts deaktiviert), verliert dann aber lokal gespeicherte Nachrichten und muss diese bei IMAP-Verwendung erneut herunterladen. (bsc)