iOS 7 speichert E-Mail-Anhänge trotz Datenschutzfunktion unverschlüsselt

MobileMobile OSSicherheit
apple-logo-schwarz (Bild: Apple)

Entdeckt hat das Problem der deutsche Sicherheitsforscher Andreas Kurtz. Betroffen sein sollen Geräte mit iOS 7.1.1 und früher. Apple hat die Existenz der Schwachstelle bereits bestätigt und einen Fix angekündigt. – aber keinen termin genannt. Um sie auszunutzen, müsste ein Angreifer direkten Zugriff auf das Mobilgerät haben.

Andreas Kurtz hat einen Fehler in der E-Mail-Anwendung von iOS 7 entdeckt. Unter bestimmten Umständen speichert sie trotz aktivierter Datenschutzfunktion Dateianhänge unverschlüsselt. Apple hat die von dem deutschen Sicherheitsforscher gemeldete Sicherheitslücke inzwischen bestätigt.

Der deutsche Sicherheitsforscher Andreas Kurtz hat einen Fehler in der E-Mail-Anwendung von iOS 7 entdeckt

Nach eigenen Angaben hat Kurtz bereits vor Wochen auf einem iPhone 4 mit der zu dem Zeitpunkt aktuellen Version von iOS 7 festgestellt, dass E-Mail-Anhänge unverschlüsselt abgelegt wurden. Unter iOS 7.0.4 trat der Fehler auf auch einem iPhone 5S sowie einem iPad 2 auf. Unter anderem ist es im Modus für die Aktualisierung der Gerätesoftware möglich, auf das Dateisystem zuzugreifen und die unverschlüsselten Anhänge zu lesen.

Kurtz erklärt, er habe Apple kontaktiert, das ihm bestätigt habe, dass es sich um ein bekanntes Problem handle. Einen Termin für die Veröffentlichung eines Patches habe das Unternehmen aber nicht genannt.

“Angesichts der langen Zeit, die iOS 7 schon verfügbar ist, und der Vertraulichkeit von E-Mail-Anhängen, die viele Unternehmen auf ihren Geräten speichern (und sich dabei auf die Datenschutzfunktion verlassen), hatte ich mit einem kurzfristigen Patch gerechnet”, schreibt Kurtz. Allerdings habe auch das Ende April veröffentlichte Update auf iOS 7.1.1 das Problem nicht behoben.

Ein Apple-Sprecher teilte mit, die Schwachstelle sei bekannt und man arbeite an einem Fix. Er werde zusammen mit einem späteren Software-Update bereitgestellt. Das Unternehmen hält das Problem also offenbar für weniger gravierend als Kurtz.

Wie die Sicherheitsforscher Adam Engst und Richard Mogull anmerken, liegt das womöglich daran, dass ein Angreifer direkten Zugriff auf ein iOS-Gerät haben müsste, um die Schwachstelle auszunutzen. Zudem müsste er das Passwort kennen, denn die Datenschutzfunktion ist nur aktiv ist, wenn eine Code-Sperre eingerichtet wurde, oder einen Jailbreak einsetzen, der ohne Passwort funktioniert. “Unklar ist, wie er den Fehler auf einem iPhone 5S und iPad 2 mit iOS 7.0.4 reproduzieren konnte, da jüngere Geräte mit iOS 7 nicht anfällig für einen Jailbreak ohne Passwort sind”, so die beiden Forscher. Sie vermuten, dass Kurtz das iPhone 5S und das iPad 2 per Jailbreak freigeschaltet hat, was Apples Schutzfunktionen reduziert.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen