Bundessicherheitsamt warnt vor Sicherheitslücke bei Apple

Mail-App

Ein Sicherheitsunternehmen hat schwere Sicherheitslücken in der Apple Mail-App entdeckt. Ein Update soll das Problem lösen – wann, ist unklar. Das Bundessicherheitsamt gibt Empfehlungen.

Bonn/Berlin

25.04.2020, 16:27 Uhr / Lesedauer: 1 min
Das Bundessicherheitsamt warnt vor einer Sicherheitslücke in der Mail-App von Apple.

Das Bundessicherheitsamt warnt vor einer Sicherheitslücke in der Mail-App von Apple. © picture alliance/dpa

Vor zwei von Sicherheitsforschern entdeckten Schwachstellen in Apples Mail-App warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Als Sofortmaßnahme empfiehlt die Behörde, die Anwendung auf iPhones und iPads zu deinstallieren oder wenigstens die Mail-Synchronisierung auszuschalten.

Apple hat bereits ein Update des iOS-Betriebssystems angekündigt, dass die Sicherheitslücken beheben soll. Der Veröffentlichungszeitpunkt ist aber noch unbekannt. Bis dahin können Nutzer von iPhones und iPads ihre Mails beispielsweise über den Browser aufrufen, rät das BSI.

Alternative E-Mail-Apps nutzen

Oder sie installieren und nutzen E-Mail-Anwendungen von Drittanbietern. Das könnten etwa die kostenlos nutzbaren Apps wie Spark, Boxer oder Newton sein, aber auch Anwendungen, die der eigene E-Mail-Provider gegebenenfalls anbietet.

Nach Angaben des Sicherheitsunternehmens Zecop, dessen Mitarbeiter die Schwachstellen entdeckt hatten, befinden sich die Lücken schon jahrelang und bis hin zur aktuellen Version 13.4.1 in Apples mobilem Betriebssystem iOS und werden bereits ausgenutzt.

Angreifer können Mails lesen, ändern und löschen

Auch das BSI spricht von einer rückwirkenden Betroffenheit bis iOS 6. Durch die zwei schwerwiegenden Sicherheitslücken sei es Angreifern möglich, allein durch das Senden einer manipulierten E-Mail iPhones oder iPads zu kompromittieren.

Potentiell sei so das Lesen, Verändern und Löschen von E-Mails möglich. Ob Angreifer darüber hinaus weiteren Schaden auf Apple-Mobilgeräten anrichten könnten, werde noch geprüft.

Apple sieht kein unmittelbares Risiko

Apple teilte hingegen mit, dem Konzern lägen keine Beweise vor, dass die Sicherheitslücken bereits zum Nachteil von Kunden genutzt wurden. Man sei von Zecops auf drei Schwachstellen hingewiesen worden und habe auf Grundlage der vorliegenden Informationen entschieden, dass sie "kein unmittelbares Risiko für unsere Nutzer darstellen". Apple verwies auch darauf, dass für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden müssten.

Die Schwachstellen sollen Apple zufolge mit der nächsten Version des mobilen Betriebssystems iOS geschlossen werden. In der Beta-Version von iOS 13.4.5 sind die Sicherheitslücken bereits behoben. Allgemein verfügbar ist das Update aber noch nicht.