iOS 7 speichert E-Mail-Anhänge trotz aktivierter Verschlüsselung im Klartext

Der deutsche Sicherheitsforscher Andreas Kurtz hat einen Fehler in der in iOS 7 enthaltenen E-Mail-Anwendung entdeckt. Sie ist unter bestimmten Umständen trotz aktivierter Datenschutzfunktion nicht in der Lage, Dateianhänge zu verschlüsseln. Apple hat die Sicherheitslücke inzwischen bestätigt.

Kurtz hat nach eigenen Angaben schon vor Wochen auf einem iPhone 4 mit der zu dem Zeitpunkt aktuellsten Version von iOS 7 unverschlüsselte E-Mail-Anhänge gefunden. Den Fehler konnte er unter iOS 7.0.4 auf auch einem iPhone 5S sowie einem iPad 2 reproduzieren. Demnach ist es unter anderem im Modus für die Aktualisierung der Gerätesoftware möglich, auf das Dateisystem eines iPhone oder iPad zuzugreifen und die unverschlüsselten Anhänge zu lesen.

Er habe darauf hin Apple kontaktiert, das ihm bestätigt habe, es handele sich um ein bekanntes Problem, schreibt Kurtz in seinem Blog. Apple habe ihm aber keinen Zeitplan für die Veröffentlichung eines Patches genannt.

„Angesichts der langen Zeit, die iOS 7 schon verfügbar ist, und der Vertraulichkeit von E-Mail-Anhängen, die viele Unternehmen auf ihren Geräten speichern (und sich dabei auf die Datenschutzfunktion verlassen), hatte ich mit einem kurzfristigen Patch gerechnet“, heißt es weiter in dem Blogeintrag. Leider habe aber nicht einmal das Ende April veröffentlichte Update auf iOS 7.1.1 das Problem behoben.

Ein Apple-Sprecher teilte dazu mit, die Anfälligkeit sei bekannt und man arbeite an einem Fix. Er werde zusammen mit einem künftigen Software-Update zur Verfügung gestellt.

Die Sicherheitsforscher Adam Engst und Richard Mogull weisen indes darauf hin, dass ein Angreifer direkten Zugriff auf ein iOS-Gerät haben müsste, um die Schwachstelle ausnutzen zu können. Zudem müsste er das Passwort kennen, da die Datenschutzfunktion nur aktiv ist, wenn eine Codesperre eingerichtet wurde. Alternativ könne er auch einen Jailbreak einsetzen, der ohne Passwort funktioniert.

„Unklar ist, wie er den Fehler auf einem iPhone 5S und iPad 2 mit iOS 7.0.4 reproduzieren konnte, da jüngere Geräte mit iOS 7 nicht anfällig für einen Jailbreak ohne Passwort sind“, so die beiden Forscher. Sie vermuten, dass Kurtz das iPhone 5S und das iPad 2 per Jailbreak freigeschaltet hat, was Apples Schutzfunktionen reduziert.

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

15 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

16 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

23 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago