Sachverhalt
Am 20.04.2020 veröffentlichte das Sicherheitsunternehmen ZecOPS Informationen zu einer Schwachstelle im Mail Client vom iOS Betriebssystem [ZEC20]. Die Schwachstelle ermöglicht einem Angreifer, schadhaften Programmcode auf dem System des Betroffenen auszuführen. Hierfür muss lediglich eine sehr große E-Mail an den Betroffenen übermittelt werden, die ausgiebig RAM des Systems verbraucht (RTF, multi-part oder andere Methoden), um die Schwachstelle in der App auszunutzen. Die Schwachstelle existiert mindestens in allen Versionen ab iOS 6 (Veröffentlichung September 2012).
Das Sicherheitsunternehmen bestätigt eine aktive Ausnutzung, in mehreren Fällen. Nach seinen Angaben ist eine flächendeckende Ausnutzung der Schwachstelle wahrscheinlich, auch auf Grund der potentiellen kurzfristigen Bereitstellung von Patches.
Eine öffentliche Äußerung von Apple liegt derzeit nicht vor. Das BSI steht im engen Austausch mit Apple. MacOS ist von der Schwachstelle nicht betroffen.
Maßnahmen
Anwender/-innen sollten die Synchronisation sowie die Push-Funktion von E-Mail-Accounts abschalten und bis zur Veröffentlichung eines Patches eine andere E-Mail-App verwenden. Der E-Mail-Abruf kann in den Einstellungen unter „Passwörter & Accounts“ angepasst werden. Der Datenabruf sollte hier auf manuell gestellt werden. Auch die Push- Funktion muss für die Zwischenzeit deaktivieren werden [HEI20].
Eine weitere Möglichkeit ist es, den iOS 13 Beta Build auf dem Gerät zu installieren. Eine Anleitung hierzu kann auf der Apple-Webseite aufgerufen werden [APP20]. Da es sich aber um ein Beta Build (frühes Entwicklungsstadium, Testphase) handelt kann es zu Anwendungsproblemen kommen – deshalb ist eine Installation in einer Produktiv-Umgebung sehr kritisch zu prüfen.
Ein Patch zur Behebung der Schwachstellen steht derzeit nicht zur Verfügung. Sollte ein Patch veröffentlicht werden kann dieser auf Apples Produktseite eingesehen werden [APP20b]. Er sollte unverzüglich, gegebenenfalls auch während des Wochenendes, eingespielt werden.
DATENSCHUTZFREUNDLICHE TECHNISCHE MÖGLICHKEITEN DER KOMMUNIKATION
Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg hat am 17.04.2020 aktuelle Empfehlungen für die Auswahl von Video- oder Telefonkonferenzsystemen gegeben. Mit Blick auf die aktuelle COVID-19 Situation und das Veränderte digitale Arbeiten sollte diesem Beitrag Beachtung geschenkt werden.