2502976

Lücke in iOS-Mail lässt iPhones unentdeckt übernehmen – Lücke erst ab iOS 13.4.5 geschlossen

23.04.2020 | 11:11 Uhr | Halyna Kubiv

Gleich zwei Fehler haben die Forscher von Zecops in iOS-Mail entdeckt, diese erlauben es, iPhones der Nutzer unentdeckt zu übernehmen.

Gestern Abend hat die Sicherheitsfirma Zecops einen Blogpost veröffentlicht, der sofort Wellen schlug. Der Firma ist es gelungen, gleich zwei Fehler in Mail für iOS und iPadOS zu entdecken, die sich den Zugang zum Arbeitsspeicher des iPhones oder iPads verschaffen und von dort auch einen schadhaften Code ausführen konnten.

Zwar weisen die Entwickler darauf hin, dass für die Komplettübernahme des Gerätes noch weitere Bugs im Kernel notwendig sind, sie sind sich ziemlich sicher, dass auch diese im Umlauf sind, weil die beschriebenen Angriffe in der letzten Zeit in mindestens sechs US-Amerikanischen Firmen nachverfolgt werden konnten. Deshalb hat sich Zecops entschlossen, die Informationen sofort zu veröffentlichten, um die Nutzer zu warnen und bis iOS 13.4.5 auf alternative Mail-Clients wie Google Mail oder Outlook umzusteigen.

Erschwerend kommt hinzu, dass der Nutzer, zumindest unter iOS 13, von dem Angriff fast gar nichts merkt. Die Mail-App kann zuweilen etwas langsamer reagieren, haben die Hacker das Gerät erfolgreich übernommen, können sie sogar die präparierten Mails danach löschen und Spuren verwischen. Unter iOS 12 ist ein Klick auf die schadhafte Mail notwendig, da das Vorgänger-System die eingegangenen Mails nicht im Hintergrund lädt und entpackt.

Gleich zwei Fehler im MIMO-Framework gefunden

Damit sich der Angreifer zum Kernel eines iPhones verschafft und von dort aus mittels weiterer Bugs den schadhaften Code ausführen kann, sind zwei Schlupflöcher in Mail notwendig, die dies erlauben würden. Laut Zecops finden sich diese Lücken in der Logic von MIME-Frameworks der Apple Mail unter iOS. MIME (Multipurpose Internet Mail Extensions) erlaubt in Mail die  Darstellung von Schriften anders als ASCII und weiteren Dateitypen wie Bilder, Audio-Dateien und Videos.

Eine genaue Beschreibung der beiden Fehler findet sich im Blogpost von Zecops unter " Crash Forensic Analytics ". Sehr vereinfacht gesagt erlaubt es ein Fehler in der Behandlung großer Daten in der Mail einen Zugang zu den nicht vorgesehen Bereichen im Arbeitsspeicher eines iPhones. Im Grunde genommen, wenn das System eine zu große Datei in der empfangenen Mail nicht erfolgreich auf die vorgegebene Größe beschneiden kann, beschreibt sie dennoch den Arbeitsspeicher. Dieser Fehler bei zu großen Daten führt dazu, dass das Mail-Programm  Arbeitsspeicherbereiche beschreibt, die dafür nicht vorgesehen sind. Dies wiederum eröffnet eine Angriffsfläche für weitere Bugs.

Die zweite Lücke betrifft ebenfalls die Bearbeitung von zu großen Daten und kann zu einem Pufferüberlauf im Speicher führen. Die beiden Fehler in der Kombination erlauben es, einer Mail mit extra großen Daten, die Forscher sprechen von ein paar Gigabyte von Text oder anderen Dateien, im betroffenen iPhone die Tür für die unbemerkte Übernahme zu öffnen.

Wer ist betroffen

Zecops hat die Anriffe per iOS-Mail im realen Leben beobachtet, nach dessen Angaben sind mehrere US-Unternehmen aus der Fortune-500-Liste betroffen. Ein Mitarbeiter der Geschäftsführerebene eines japanischen Netzbetreibers ist ebenfalls dabei sowie eine Person des öffentlichen Lebens aus Deutschland und ein europäischer Journalist.

Wie sieht die Angriffs-Mail aus?

Da der Angriff über den Download der besonders großen Daten in Mail stattfindet, blendet Mail auf dem iPhone nicht deren Inhalt, sondern eine Warnung "This Message cannot be displayed because of the way it is formatted", in etwa "Diese Nachricht kann nicht dargestellt werden...". In der Übersichtsliste eines Posteinganges kann dagegen stehen: "Diese Mail hat keinen Inhalt." Unter iOS 12 kann Mail abstürzen, unter iOS 13 passiert nicht mal das, das Programm kann etwas träge auf die Befehle der Nutzer reagieren, das war's dann.

So sehen die Angreifer-Mails aus.
Vergrößern So sehen die Angreifer-Mails aus.
© Zecops

Seit wann gibt es diese Lücke(n)?

Laut Zecops gibt es diese Fehler in iOS seit mindestens iOS 6, frühere Versionen hat man nicht untersucht. Die ersten Angriffe in der realen Welt hat man bis Januar 2018 nachverfolgen können. Apple hat von den Angriffen am 19. Februar 2020 erfahren, am 23. und 31. März hat Zecops die Einzelheiten zu den beiden beschriebenen Lücken an die Entwickler von Apple geschickt. Am 15. April hat Apple die Beta von iOS 13.4.5 veröffentlicht, die diese Lücken schließt.

Wer ist betroffen?

Das aktuelle iOS 13.4.1 hat die Lücken noch nicht geschlossen. Deswegen empfehlen die Forscher, entweder die verfügbare Beta von iOS 13.4.5 zu installieren oder derweil auf andere Clients umsteigen, bis Apple die Systeme aktualisiert. macOS ist dagegen nicht davon betroffen.

PC-WELT Marktplatz

2502976