Warnung: alle mobilen Apple-Geräte per E-Mail angreifbar (23.4.2020) Bitte nutzen Sie die App NICHT

Kurzinformation:
Es besteht eine akute Sicherheitslücke besteht in der App “Mail” .Ein erfolgreicher Angriff kann nicht bemerkt werden. Eingehende leere E-Mails sind Anzeichen für einen fehlgeschlagenen Angriff.
Bei einem erfolgreichen Angriff kann der Angreifende auf alle E-Mails des Opfers zugreifen und die E-Mails unbemerkt kopieren.
Bitte nutzen Sie die Mail App auf Ihrem Mobilgerät nicht, bis Apple die Sicherheitslücke geschlossen haben wird. Ein Sicherheitsupdate gibt es derzeit nicht.

Nutzen Sie statt der App bitte Webmail im Browser und schalten Sie die Synchronisation der App ab!

Bis zum Bereitstellen eines Patches durch Apple und das Einspielen durch die Anwender sollten diese den automatischen Empfang von E-Mails durch den iOS-Mail-Client manuell selbst deaktivieren:

1. Einstellungen öffnen
2. dann zu “Passwörter & Accounts” scrollen
3. dort ganz unten auf “Datenabgleich” gehen
4. Push-Schalter: Aus
5. darunter alle Mail-Accounts, die “Push” zeigen, auf “Manuell” ändern
6. ganz nach unten scrollen und “Manuell” aktivieren.

Anschliessend die Mail-App beenden, falls sie im Hintergrund läuft:

• Bei Geräten mit Home-Button: Doppelt drücken, ansonsten vom unteren Rand hoch wischen
• dann die Mail-App finden und beenden (z.B. durch Hochschieben)

Wir werden Sie auf diesem Weg über die Verfügbarkeit des Updates informieren.

Langfassung:
Es ist gerade bekannt geworden, dass alle mobilen Apple-Geräte (iPhone, iPad) durch einen Angriff per E-Mail verwundbar sind.
Die/Der Angreifer*in muss lediglich eine entsprechend präparierte E-Mail schicken.
Unter iOS 12 muss der Nutzende dazu die infizierte Mail öffnen.
Unter iOS 13 funktioniert der Angriff vollkommen automatisch ohne Mitwirkung des Nutzenden.
Bei einem erfolgreichen Angriff kann der Angreifende auf alle E-Mails des Opfers zugreifen und die E-Mails unbemerkt kopieren.
Ein Sicherheitsupdate gibt es derzeit nicht. Bitte nutzen Sie die Mail App auf Ihrem Mobilgerät nicht, bis Apple die Sicherheitslücke geschlossen haben wird.
Der Angriff hinterlässt keine Spuren auf dem Gerät, außer wenn er fehlschlägt. Bei einem Fehlschlag kann es die Fehlermeldung „Diese Mail kann nicht angezeigt werden“ geben. Im Erfolgsfalle ist es nicht zu erkennen.
Die Sicherheitslücke besteht seit mindestens 2012 und wurde bereits ausgenutzt.
macOS Mail ist nicht betroffen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt:

• Löschen der App “Mail” oder Abschaltung der Synchronisation
• Nach Umsetzung von Punkt 1 kann zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegriffen werden
• Das von Apple angekündigte iOS–Update sollte schnellstmöglich eingespielt werden, sobald es zur Verfügung steht

Mehr Information:

• Heise Verlag: https://www.heise.de/mac-and-i/meldung/iPhones-durch-Zero-Day-Luecken-in-Apple-Mail-angreifbar-4707901.html
• BSI: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html