Apple iOS 7: Schwachstelle bei der Verschlüsselung von E-Mail-Anhängen entdeckt

Aufgrund einer Sicherheitslücke in Apple iOS 7 werden E-Mail-Anhänge trotz eingeschalteter „Datenschutzfunktion“ nicht verschlüsselt gespeichert. Der Fehler existiert auch in der neuesten iOS-Version 7.1.1. Die Gefahr hält sich allerdings in Grenzen. Apple hat zudem einen Patch angekündigt.

Apple iOS 7 ist von einer Sicherheitslücke betroffen, die unter bestimmten Umständen dazu führt, dass Anhänge von E-Mails trotz eingeschalteter Datenschutzfunktion nicht verschlüsselt abgelegt werden. Das hat der deutsche Sicherheitsforscher Andreas Kurtz herausgefunden, wie er in seinem Blog schreibt. Die Anfälligkeit hat Apple mittlerweile auch bestätigt.

Apple iOS 7: Schwachstelle bei der Verschlüsselung von E-Mail-Anhängen entdeckt

Laut Kurtz existiert die Schwachstelle bereits in der Version iOS 7.0.4 und wurde auch nicht durch das kürzliche Update auf Version 7.1.1 behoben. Nachdem er ein IMAP-Konto angelegt hatte, konnte er unter anderem mithilfe des Modus für die Aktualisierung der Gerätesoftware, auf das Dateisystem eines iPhone oder iPad zugreifen und die unverschlüsselten Anhänge abrufen, die eigentlich durch Apples „Data Protection“ durch einen Passworte-Code geschützt sein sollten. Nachträglich fügte er hinzu, dass dies auch bei POP- und ActiveSync-Konten der Fall ist.

Auf Nachfrage habe Apple Kurtz bestätigt, dass es sich um ein bekanntes Problem handle. Einen konkreten Zeitplan für die Veröffentlichung eines Fix nannte Apple aber nicht.

“Angesichts der langen Zeit, die Apple iOS 7 schon verfügbar ist, und der Vertraulichkeit von E-Mail-Anhängen, die viele Unternehmen auf ihren Geräten speichern (und sich dabei auf die Datenschutzfunktion verlassen), hatte ich mit einem kurzfristigen Patch gerechnet”, schreibt Kurtz weiter in dem Blogeintrag.

Ein Apple-Sprecher teilte dazu mit, die Anfälligkeit sei bekannt und man arbeite an einem Fix. Er werde zusammen mit einem künftigen Software-Update zur Verfügung gestellt.

Die Sicherheitsforscher Adam Engst und Richard Mogull weisen allerdings darauf hin, dass von der Sicherheitslücke keine allzu große Gefahr ausgeht, da ein Angreifer direkten Zugriff auf ein iOS-Gerät haben müsste, um sie  ausnutzen zu können. Zudem müsste er das Gerätepasswort des Besitzers kennen, da die Datenschutzfunktion nur dann aktiv ist, wenn eine Codesperre eingerichtet wurde. Alternativ könne er auch einen Jailbreak einsetzen, der ohne Passwort funktioniert.

“Unklar ist, wie er den Fehler auf einem iPhone 5S und iPad 2 mit Apple iOS 7.0.4 reproduzieren konnte, da jüngere Geräte mit iOS 7 nicht anfällig für einen Jailbreak ohne Passwort sind”, so die beiden Forscher. Sie vermuten, dass Kurtz das iPhone 5S und das iPad 2 per Jailbreak freigeschaltet hat, was Apples Schutzfunktionen reduziert.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Apple iOS 7: Schwachstelle bei der Verschlüsselung von E-Mail-Anhängen entdeckt

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *