Der aktuelle iOS-Mail Bug ist eine Schwachstelle der in iOS eingebetteten Rendering-Engine von Apple-Mobilgeräten. Ein Exploit kann nach derzeitigem Stand nicht sicher anhand von Merkmalen der betroffenen E-Mails erkannt werden. Es sind unzählige Varianten denkbar. Daher sind diese Exploits für Filtersysteme derzeit nahezu unsichtbar. Auch SecuMail kann kompromitierte E-Mails derzeit noch nicht zuverlässig erkennen und filtern.

Die Sicherheitslücke kann für getriggerte Abstürze der Geräte bis hin zum Ausführen und Installieren fremder Software genutzt werden und ist damit als kritisch einzustufen.

Was ist wichtig zum Thema iOS Mail Bug:

• Betroffen sind alle Versionen ab iOS 6. MacOS ist davon nicht betroffen.
• Das Problem sitzt im iOS Betriebssystem und kann nur durch ein iOS Update behoben werden. Nur die Mail App zu aktualisieren hilft nicht.
• Einige Quellen sprechen sogar von „Zero-Click“ Exploits, die aktiv werden können, ohne, dass eine Mail aktiv „gelesen“ wird.
• Es reicht wohl aus die „Mail“ App auf iOS zu deaktivieren. Folglich könnte ggf. auf andere MailClients ausgewichen werden.
• Der Bug wird wohl bereits aktiv ausgenutzt.

Wir empfehlen daher die Nutzung der iOS Mail-App (ggf. auch ActiveSync) derzeit zu unterbinden bis das iOS auf iPhones und iPads das Upgrade (13.4.5) erhalten hat.

Hier sind einige Quellen zu diesem Thema:

https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

https://www.heise.de/mac-and-i/meldung/Mail-Bugs-BSI-warnt-vor-iOS-4708945.html

https://www.sueddeutsche.de/digital/apple-it-sicherheit-mailprogramm-1.4886625

Mit freundlichen Grüßen
Ihr SecuMail-Team