iOS 7 speichert E-Mail-Anhänge trotz aktivierter Verschlüsselung im Klartext

Der deutsche Sicherheitsforscher Andreas Kurtz hat einen Fehler in der in iOS 7 enthaltenen E-Mail-Anwendung entdeckt. Sie ist unter bestimmten Umständen trotz aktivierter Datenschutzfunktion nicht in der Lage, Dateianhänge zu verschlüsseln. Apple hat die Sicherheitslücke inzwischen bestätigt.

Kurtz hat nach eigenen Angaben schon vor Wochen auf einem iPhone 4 mit der zu dem Zeitpunkt aktuellsten Version von iOS 7 unverschlüsselte E-Mail-Anhänge gefunden. Den Fehler konnte er unter iOS 7.0.4 auf auch einem iPhone 5S sowie einem iPad 2 reproduzieren. Demnach ist es unter anderem im Modus für die Aktualisierung der Gerätesoftware möglich, auf das Dateisystem eines iPhone oder iPad zuzugreifen und die unverschlüsselten Anhänge zu lesen.

Er habe darauf hin Apple kontaktiert, das ihm bestätigt habe, es handele sich um ein bekanntes Problem, schreibt Kurtz in seinem Blog. Apple habe ihm aber keinen Zeitplan für die Veröffentlichung eines Patches genannt.

„Angesichts der langen Zeit, die iOS 7 schon verfügbar ist, und der Vertraulichkeit von E-Mail-Anhängen, die viele Unternehmen auf ihren Geräten speichern (und sich dabei auf die Datenschutzfunktion verlassen), hatte ich mit einem kurzfristigen Patch gerechnet“, heißt es weiter in dem Blogeintrag. Leider habe aber nicht einmal das Ende April veröffentlichte Update auf iOS 7.1.1 das Problem behoben.

Ein Apple-Sprecher teilte dazu mit, die Anfälligkeit sei bekannt und man arbeite an einem Fix. Er werde zusammen mit einem künftigen Software-Update zur Verfügung gestellt.

Die Sicherheitsforscher Adam Engst und Richard Mogull weisen indes darauf hin, dass ein Angreifer direkten Zugriff auf ein iOS-Gerät haben müsste, um die Schwachstelle ausnutzen zu können. Zudem müsste er das Passwort kennen, da die Datenschutzfunktion nur aktiv ist, wenn eine Codesperre eingerichtet wurde. Alternativ könne er auch einen Jailbreak einsetzen, der ohne Passwort funktioniert.

„Unklar ist, wie er den Fehler auf einem iPhone 5S und iPad 2 mit iOS 7.0.4 reproduzieren konnte, da jüngere Geräte mit iOS 7 nicht anfällig für einen Jailbreak ohne Passwort sind“, so die beiden Forscher. Sie vermuten, dass Kurtz das iPhone 5S und das iPad 2 per Jailbreak freigeschaltet hat, was Apples Schutzfunktionen reduziert.

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago