Angriff per E-Mail Neue Sicherheitslücken gefährden iPhone- und iPad-Nutzer

US-Forscher warnen vor iPhone-Sicherheitslücken, die möglicherweise schon seit Jahren von Kriminellen ausgenutzt werden. Hier erfahren Sie, wie man sich schützen kann.
iPhone XS und iPhone XS Max: Die Lücken betreffen zahlreiche Apple-Geräte

iPhone XS und iPhone XS Max: Die Lücken betreffen zahlreiche Apple-Geräte

Foto: Kirsty O'Connor/DPA

IT-Experten der US-Sicherheitsfirma ZecOps haben am Mittwoch potenziell schwerwiegende Sicherheitslücken  in den Betriebssystemen, die Apple auf seinen iPhones und iPads installiert, bekannt gemacht. Dem Bericht der Forscher zufolge ermöglichen es die Schwachstellen Angreifern, unbemerkt vom Nutzer Schadsoftware auf die Geräte zu schleusen. Unter bestimmten Bedingungen soll sich auch die Kontrolle über die Geräte übernehmen lassen.

Die Angriffe erfolgen demnach über die auf allen iPhones und iPads vorinstallierte Mail-App. Die Angreifer müssten dem Opfer dazu eine E-Mail senden, die "eine beträchtliche Menge Speicher verbraucht". Dazu müsse die Nachricht selbst nicht einmal besonders groß sein. Vielmehr gebe es andere Methoden, wie beispielsweise das Mitsenden von RTF-Dateien als Anhang, die geeignet seien, den Arbeitsspeicher stark zu belasten.

Bemerkenswert sei, dass die Schwachstellen teilweise ohne weitere Interaktion durch den Nutzer ausgenutzt werden können, heißt es. Mitunter ist es also nicht einmal nötig, dass das Opfer eine manipulierte E-Mail öffnet: Der Schadcode könnte den Sicherheitsforschern zufolge auch ohne eine solche aktive Handlung auf das Gerät übertragen werden. Verschärfend hinzu kommt, dass die Angreifer ihre Attacken offenbar verschleiern können, indem sie die fraglichen E-Mails per Fernsteuerung löschen.

Auch das aktuelle iOS ist gefährdet

ZecOps zufolge werden die jetzt dokumentierten Schwachstellen bereits aktiv ausgenutzt. Man sei auf das Problem aufmerksam geworden, nachdem die Geräte einiger Kunden der Firma auf merkwürdige Weise abgestürzt waren.

Die Sicherheitslücken sollen bereits seit iOS 6 in Apples Betriebssystem vorhanden sein. Diese Version wurde 2012 mit dem iPhone 5 eingeführt. Die Sicherheitsforscher vermuten daher, dass die Schwachstellen schon seit Jahren für gezielte Angriffe auf Firmen und Einzelpersonen genutzt worden sein könnten.

ZecOps hat das Problem an Apple gemeldet, schreibt das Unternehmen, in der aktuellen Version 13.4.1 von iOS und iPad OS sei die Schwachstelle aber noch vorhanden. ZecOps habe sich entschlossen, die Sicherheitslücke dennoch publik zu machen, weil man davon ausgehe, dass die Kriminellen, die diese Schwachstellen ausnutzen, von der Entdeckung erfahren haben und jetzt versuchen, so viele Ziele wie möglich anzugreifen, bevor Apple die Lücke stopft.

So kann man sich helfen

Apple selbst hat sich zu dem Problem bislang nicht geäußert. In der aktuellen Betaversion von iOS 13.4.5 sind die Schwachstellen nach Angaben von ZecOps jedoch behoben. Wann dieses Update über die automatische Updatefunktion der Apple-Betriebssysteme verfügbar gemacht wird, ist derzeit unklar.

Wer sich vor den nun öffentlich gemachten Sicherheitslücken schützen will, hat deshalb derzeit nur zwei Optionen: Man kann wahlweise Apples Mail-App nicht mehr zu nutzen oder die öffentliche Betaversion von iOS oder iPad OS 13.4.5 installieren. Wie bei Betaversionen üblich, tut man Letzteres auf eigene Gefahr und muss mit dem Risiko leben, dass diese Betaversion selbst noch Fehler enthält. Das ist das Wesen solcher Vorabsoftware: Sie wird an Tester verteilt, damit diese die Entwickler auf noch unentdeckte Probleme hinweisen, welche dann bis zur allgemeinen Veröffentlichung behoben werden können.

Die Wiedergabe wurde unterbrochen.