2088836

iPad & iPhone: Fiese Sicherheitslücke in Apple Mail entdeckt

11.06.2015 | 11:14 Uhr |

Weil in den aktuellen Versionen von iOS 8 und OS X 10.10 ein HTML-Tag nicht ignoriert wird, können Angreifer so leicht fremde Passwörter abgreifen.

Der Ernst-and-Young-Mitarbeiter aus Tschechien Jan Soucek hat die Lücke im Code eigentlich schon im Januar 2015 entdeckt und zeitgleich ein Bestätigungsvideo auf Youtube gepostet. Weil die Mail-Clients unter iOS und OS X einen HTML-Tag in den empfangenen Mails nicht ignorieren, können Verbrecher die Mails für Passwort-Phishing missbrauchen. Der HTML-Tag ist in den E-Mails für die Weiterleitung an eine andere Webseite verantwortlich. Eben darauf hat Soucek seinen Hack aufgebaut: Der Fehler im Mail-Code erlaubt das Hochladen fremder Inhalte in einer Mail. So kann sich eine betrügerische Mail als eine aus vertraulicher Quelle tarnen, dazu ist auch ein Pop-up-Fenster mit der Passwort-Abfrage möglich, das sich nicht von dem iCloud-Original unterscheidet. Die Daten landen dann nicht beim Anbieter, sondern beim Phisher. Der Nutzer hat praktisch keine Chance, den Betrug zu erkennen. Das von Soucek gebastelte Tool funktioniert nur auf iOS-Geräten, so dass die Frage nach der Apple ID nicht in Outlook erscheinen kann; es setzt auch einen Cookie, so dass die Passwort-Abfrage nur einmal erscheint.

Nach Angaben von Soucek sind beide Versionen des Mail-Clients - unter iOS und OS X - angreifbar. Der Entwickler hat sein Tool auf Github vor drei Tagen veröffentlicht. Bis Apple die Lücke in iOS und OS X schließt, ist also höchste Vorsicht geboten. Am besten gibt man in Mail gar keine Passwörter ein. Kommt ein Popup-Fenster immer wieder, wechselt man in die Einstellungen-App und prüft dort, ob alle Passwörter richtig gesetzt sind.

Update: Wir haben den Entwickler Jan Soucek per Mail mit einigen Fragen zu der Mail-Lücke kontaktiert. Nach seinen Angaben wurde die Lücke zum ersten Mal in der Business-App " Good for Enterprize " gefunden und trägt die CVE-Nummer CVE-2014-4925 . Als Soucek über die Good-Lücke gelesen hat, hat er die gleiche Technologie für iOS auf seinem eigenen iPad ausprobiert. Es sei aber nicht ausgeschlossen, dass auf anderen Plattformen der gleiche Hack möglich ist.

Soucek meint auch, die offensichtliche Lösung für dieses Problem ist eine etwas andere Behandlung des betroffenen HTML-Tags. Schließlich ignorieren die Mail-Clients unter iOS und OS X andere HTML-Tags ohne weitere Schwierigkeiten. In der Entwickler-Szene ist bereits eine Lösung vorhanden, allerdings nur für Geräte mit Jailbreak. Der Autor behauptet auf Reddit , die Entwicklung bzw. Programmierung habe fünf Minuten gedauert.

0 Kommentare zu diesem Artikel
2088836