iOS Apple Mail: Schwachstelle macht seit Januar Datenklau möglich

Wie Proof-of-Concept-Code der auf Github veröffentlicht wurde zeigt, klafft in der iOS-Version von Apple Mail ein Sicherheitsleck, das den Diebstahl von Anmeldedaten möglich macht. Der Entdecker hatte Apple schon im Januar über den Bug informiert. mehr... Sicherheit, iOS, Sicherheitslücke, Lücke Bildquelle: FireEye Sicherheit, iOS, Sicherheitslücke, Lücke Sicherheit, iOS, Sicherheitslücke, Lücke FireEye

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Und dann schmeißen Apple auch noch Sicherheitsapps aus dem Store,weil ja alles sicher ist.Da ist auch nicht alles Gold was glänzt.
 
@Fanta2204: Was wäre denn eine solche "Sicherheitsapp" und inwiefern schützt sie?
 
@Fanta2204: du weißt schon das diese "sicherheitsapps" nahezu rein gar keine funktion hatten?!
 
@Fanta2204: welche Funktion hätten diese "sicherheits"apps erfüllt? Wem nutzten diese?
 
@Fanta2204: welche Apps meinst du genau? Ich vermute mal du meinst die Geschichte mit den anti Virus Apps.. Da diese keinen Real Time Scanner unter iOS bereitstellen können, sind diese auch etwas nutzlos.
 
@Fanta2204: Na warum antwortest du denn nicht mehr :) ?
 
@multiDDR: Er traut sich nicht.. Sein Apple Bashing ging nicht auf (-;
 
Ich verstehe es einfach nicht... Da klaffen immer wieder RIESENGROSSE Löcher in Apples Software und die tun so nach dem Motto "nee, is nix.. gehn se weiter". Und dann immer wieder davon faseln, wie sicher ihre Produkte doch sind und wie sehr sie "für den Nutzer" arbeiten.

Das kann man sich als kleines Startup schon nicht erlauben, aber als Milliarden-Dollar-Konzern?! Was zur Hölle
 
@Slurp: Du kannst doch nicht erwarten, das Apple so was zu gibt.Den Höchsicherheitstrakt von Apple in Frage zu stellen......um Gottes Willen
 
@Fanta2204: Apple-Produkte sind fehlerfrei. Daran ist nichts zu rütteln. Steht so im Apple-Katechismus der Gläubigen. http://9gag.com/gag/7088075/impossible-this-is-a-mac
 
@Slurp: Könntest du mir hier in diesem Fall erklären wo RIESENGROSSE Löcher sind?
 
@0711: Also wenn zB wie hier HTML Metas in E-Mails mit ausgelesen werden, stellt das für mich schon ne ordentliche Schlamperei dar. Vor allem, wenn nach Monaten scheinbar immernoch keine Änderung geschehen ist
 
@0711: Also wenn ich ganz gezielt Personen per Mail angreifen und "sämtliche" Informationen ausspionieren kann(dann mit Hilfe von unerkennbarem Phising), dann ist das für mich auch eine riesen griße Lücke...
Und dann muss ich auch gleich immer an ihre Numbrs Werbung denken... meine Bankzugangsdaten werde ich sicher auf keinem iFön hinterlegen...
 
@bLu3t0oth: welche sämtlichen Informationen lassen sich denn rein durch die mail ohne eingabe ausspionieren?
 
@0711: Steht doch da:
"Das bereitgestellte Tool macht außerdem klar, dass nicht nur sensible Daten zu Apples Diensten wie iCloud & Co. mit dieser Methode abgegriffen werden könnten. Da wegen der Schwachstelle beliebige HTML-Inhalte eingeschleust werden können, ist es Hackern theoretisch möglich, ihre Phishing-Versuche auch auf andere Dienste abzustimmen."
Man baut ne gute Phishing-Seite auf und der ahnungslose Nutzer schiebt dir schön alle Daten rüber, abgesehen davon kannst du ja auch Zugang zum Applekonto erlangen und dir somit mit etwas Geschick Zugänge zu anderen Diensten schicken lassen.
 
@bLu3t0oth: mit dem abgreifen ist gemeint, der user gibt's ein - das System gibt hier keine Infos raus sondern stellt nur eine HTML Mail mit externen Inhalten dar.

Das ist etwa so wie auf manchen Seiten zu findenden "Windows Meldungen", gut die betrachtet man i.d.R. im Browser aber das Prinzip ist dasselbe.
 
@0711: Sicher gibt der Nutzer das ein... es geht ja darum, dass man das kaum bemerken kann, dass es nicht die echte Seite ist.
 
@bLu3t0oth: Wie bei jeder gut gemachten Phisingseite, die Kritik ist dass automatisch externer Inhalt geladen wird oder anders gesagt....dass die Mail korrekt dargestellt wird ohne dass der User etwas abnickt.

Die riesige Schwachstelle sehe ich da weiterhin nicht
 
@bLu3t0oth: Numbrs ist keine App von Apple selbst. Die Namensähnlichkeit zu Apples Tabellenkalkulationsprogramm Numbers ist zwar groß und gesprochen ist quasi kein Unterschied hörbar, trotzdem hat Apple mit der genannten Banking-App nichts zu tun. Ich nutze die App allerdings auch nicht und das aus guten Gründen. Die App ist kostenlos und werbefrei, trotzdem verdienen sie damit offenbar genug Geld, um sogar Fernsehwerbung schalten zu können. Wo soll die Kohle herkommen, wenn nicht vom Handel mit Nutzerdaten?
 
@Zaebba: mir gings auch nicht darum, dass die von Apple ist, sondern dass die auf iOS(bzw Smartphone) läuft..
 
@bLu3t0oth: Das tut sie in nicht allzu ferner Zukunft auch unter Android. An einer entsprechenden Umsetzung wird gerade gearbeitet. Und ich kann mir nicht vorstellen, dass es sicherer wäre, seine Bankdaten in dieser App auf einem Android-Device zu hinterlegen. Unabhängig vom Gerät kann ich deine Bedenken nachvollziehen.
 
Moment verstehe ich das richtig bzw sehe es richtig

- iOS Apple Mail rendert automatisch HTML Mails (auch externe Inhalte)
- Man baut eine HTML Mail die ein Eingabefeld hat das ähnlich dem iOS Login aussieht und versendet diese Mail an die "Opfer"

Die Lücke besteht also darin dass Apples iOS Mail HTML Mails korrekt darstellt?

Das soll eine Schwachstelle sein? Ja ist es, 30cm vor dem Bildschirm

Man könnte hier mit usabiltiy Nachteilen zwar implementieren dass externe Inhalte nicht automatisch geladen werden aber...naja das als Schwachstelle zu verkaufen O.o
 
@0711: Nein verstehst du nicht. Mit einer entsprechend präparierten email kannst du Inhalte aus der ferne laden. Wie z.B. eine gefakte login Seite eines Dienstes. Diese ist von der echten nicht zu unterscheiden weil sie nicht innerhalb der Email geladen wird. Es hat nix damit zu tun, dass einfacher entfernter Inhalt, in der email geladen und gerendert wird. Und deswegen ist von einem Fehler die Rede. Also du kannst ja nun nicht dem User vorwerfen, dass es eine Schwachstelle gibt, von der der User nix weiß und die es ermöglicht etwas darzustellen was vom Original schwer zu unterscheiden ist.

Diese Aussage impliziert auch, dass Apple User dämlich sind, da das Problem vor dem Bildschirm sitzt. Und das wage selbst ich nicht zu glauben! ^^
 
@daaaani: bezugnehmend auf das Video aus der quelle
Alles was dort dargestellt wird inklusive dem Loginfenster ist im "Content" Feld von iOS Mail, alle anderen Bereiche werden nicht abgedunkelt oder wirken unbedienbar wie bei echten Aufforderungen.
Da könnte ich auch eine Website im Browser so bauen dass da ein Proxy Login angefordert wird bzw so aussieht, sogar noch n bisschen besser (Login korrekt zentriert) und es als schwachstelle verkaufen...

Die Lösung wäre also dass Apple in iOS Mail HTML nur teilweise unterstützt? Oder nur nach Bestätigung Vollständig lädt? Naja....ich tu mir da weiterhin schwer die gravierende Schwachstelle zu sehen.

Nicht Apple User sind dämlich, alle sind es (da nehm ich mich nicht aus)...
Kommentar abgeben Netiquette beachten!

iPhone 7 im Preisvergleich