Zero Day Lücke in Mail

[iPhill]

Puh, Snowden ist echt schon so lange her?

Ach, so war's nicht gemeint: Das hat mit Snowden in diesem Sinne nichts zu tun. Wegen der "Grossen" im Geschäft mach ich mir keinerlei Sorgen, die können überall mitlesen, zu jeder Zeit, wenn sie wollen*, mir geht's hier ausschliesslich um "private Kriminelle" (der Hacker von neben an, der mein Konto leer räumen, meinen Ruf schänden oder mir sonst etwas böses will).

*Jede/r der was anderes behauptet ist - verzeiht, aber anders will ich es nicht sagen - entweder naiv, will es nicht wahr haben oder gehört selbst auf irgendeiner Ebene dazu, vgl. PRISM bzw. Stellar Wind.

 

[maba_de]

mir geht's hier ausschliesslich um "private Kriminelle" (der Hacker von neben an, der mein Konto leer räumen will).

hier liegt aber gerade die größte Motivation. Wirtschaftsspionage ist ein riesen Feld und Geschäft.
Übrigens unterstützen Regierungen hier, gerade die Amis und auch die Chinesen .
Airbus ist (mehrfach) Opfer professioneller, staatlich unterstützter Wirtschaftsspionage geworden (in mindestens einem Fall war die NSA involviert) und hat große Aufträge deshalb an Boing verloren.
U.a. hier allgemeine Hinweise: https://www.welt.de/politik/ausland...treiben-ohne-Zweifel-Wirtschaftsspionage.html

Ich arbeite in einem Großkonzern und habe auch mit der IT von Vorständen zu tun, mich betrifft so etwas immer, wenn auch indirekt.
Zum Glück produzieren wir ein Produkt, wegen dem sich Spionage nicht lohnt .

 

[warnochfrei]

Wegen der "Grossen" im Geschäft mach ich mir keinerlei Sorgen, die können überall mitlesen, zu jeder Zeit, wenn sie wollen

Ach, dann ist das ja nicht so schlimm.

 

[wiefra3]

Ich weiß. Aber, Mails komplett zu ignorieren kann ja auch nicht der Weisheit letzter Schluß sein.

Aber mal 1-2 wochen darauf verzichten Mails am Handy zu checken, sollte ja möglich sein. Da nimmt man einfach den Rechner zuhause, oder loggt sich per Browser ein.

 

[mr.robot]

Ups,geht ja auch gerade medial steil. Mein Weckradio WDR2 meldet, dass es empfohlen wird Mail unter iOS vorerst zu löschen. Mal schauen wie schnell Apple das fixt. Normalerweise sind die dabei ja eher recht träge.

https://www.sueddeutsche.de/digital/apple-it-sicherheit-mailprogramm-1.4886625
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html

 

[iKiel]

IMHO: Die Lücke mag technisch gesehen gravierend sein, aber A) nehme ich an, dass sie gegen "Private ", die in keiner Weise von öffentlichem Interesse sind, kaum verwendet werden dürfte und B) müsste eine entsprechend kritische E-Mail erstmal geöffnet werden, was eigentlich auch nicht unbedingt der Fall sein sollte.
Zudem: Beispielsweise Google filtert Spam und "verdächtige" Nachrichten deart zuverlässig, dass ich mir bei den grösseren Anbietern als Privater kaum sorgen mache; und bei Business-Accounts, lass ich's der IT Sorge sein.

Also wenn ich das richtig lese, muss die eMail nicht geöffnet werden, jedenfalls nicht unter iOS 13....

 

[lulesi]

Geöffnet nicht, aber natürlich muss die Mail erst einmal heruntergeladen sein.

Man kann und Passwörter&Accounts in den Accounts den mail-abgleich abschalten.

Bei Bedarf einfach ein anderes Mail Programm installieren.
Wenn die Lücke geschlossen ist, kann man ja wieder zurückwecheln

 

[iKiel]

Bei mir läuft das immer automatisch insofern hätte ich da schon Bedenken, durch die gewohnte Arbeit aus Versehen da etwas falsches zu tun. Ich werde eMails zunächst nur noch am Mac oder das wichtigste Konto zwischendurch per Webmail abzufragen.

 

[medeman]

Ich frage mich, ob auch Updates für ältere iOS-Versionen veröffentlicht werden. Habe ich zwar persönlich kein Problem mit, aber einige kritische Lücken wurden ja beispielsweise auch nach dem Erscheinen von iOS 13 für ältere Geräte unter beispielsweise iOS 12 geschlossen.

 

[wibsi]

Hallo, hier ein Ausschnitt vom Heise Bericht:
ZecOps konnte nach eigenen Angaben Hinweise auf sechs Attacken auf Basis der Sicherheitslücken feststellen. Unter den Zielen der Angriffe seien Manager großer US-Unternehmer sowie eines japanischen Mobilfunk-Anbieters sowie ein Journalist in Europa gewesen.

Ob da nicht allgemein etwas übertrieben wird, also mit dem was uns passieren könnte, obwohl die Angreifer unsere private Mail Adresse gar nicht kennen.

Auch Apple hätte sicher schon reagiert wenn es wirklich so gefährlich wäre, also mal abwarten, Mail´s eventuell über Web-Mail und nicht gleich App löschen.
Gruß, gesund bleiben..

 

[iKiel]

Hallo, hier ein Ausschnitt vom Heise Bericht:
ZecOps konnte nach eigenen Angaben Hinweise auf sechs Attacken auf Basis der Sicherheitslücken feststellen. Unter den Zielen der Angriffe seien Manager großer US-Unternehmer sowie eines japanischen Mobilfunk-Anbieters sowie ein Journalist in Europa gewesen.

Ob da nicht allgemein etwas übertrieben wird, also mit dem was uns passieren könnte, obwohl die Angreifer unsere private Mail Adresse gar nicht kennen.

Auch Apple hätte sicher schon reagiert wenn es wirklich so gefährlich wäre, also mal abwarten, Mail´s eventuell über Web-Mail und nicht gleich App löschen.
Gruß, gesund bleiben..

Das Risiko musst Du für Dich selbst abwäge n, aber ich würde es nicht einfach so abtun.

 

[warnochfrei]

Mich amüsiert, dass hier Menschen ausgerechnet Webmail als "weniger unsichere Variante" missverstehen.

 

[tocotronaut]

Interessant wird sein, wann, ob und wie weit zurück Apple da auch ältere iOS Versionen aktualisiert....

Klar ist die lücke kritisch. Überaus kritisch sogar.
Allerdings ist auch die frage wie diese lücke bislang ausgenutzt wurde.
So wie es für mich bislang aussieht stecken da keine kleinkriminellen dahinter.
Das scheinen alles gezielte Angriffe zu sein.
Das ist zumindest beruhigend, was die breite Masse angeht.

Lustig ist dass sie mit neueren iOS Versionen noch einfacher ausgenutzt werden kann als mit den älteren.

 

[TSMusik]

wann, ob und wie weit zurück

Gemäß der aktuellen Update-Politik von Apple dürfte zeitgleich mit iOS 13.4.5 ein iOS 12.4.7 erscheinen und das war’s.
Damit wären dann alle iPhones ab dem 5s versorgt.

 

[noodyn]

wobei die App nicht wirklich komplett gelöscht wird.

sondern? Wenn ich Mail lösche, kann ich die App nicht mehr starten / öffnen / nutzen.

 

[jockel06]

War jetzt sogar in der WDR Radio Nachrichten, dass man Mail z.Z. nicht nutzen soll

 

[sailingHobbit]

Hallo, hier ein Ausschnitt vom Heise Bericht:
ZecOps konnte nach eigenen Angaben Hinweise auf sechs Attacken auf Basis der Sicherheitslücken feststellen. Unter den Zielen der Angriffe seien Manager großer US-Unternehmer sowie eines japanischen Mobilfunk-Anbieters sowie ein Journalist in Europa gewesen.

Ob da nicht allgemein etwas übertrieben wird, also mit dem was uns passieren könnte, obwohl die Angreifer unsere private Mail Adresse gar nicht kennen.

Auch Apple hätte sicher schon reagiert wenn es wirklich so gefährlich wäre, also mal abwarten, Mail´s eventuell über Web-Mail und nicht gleich App löschen.
Gruß, gesund bleiben..

Die Annahme, dass ein Angreifer deine private Mailadresse nicht kennt ist sehr fahrlässig. Es gibt genug Leaks bei diversen großen Läden, die dafür sorgen konnten, dass deine Mailadresse frei verfügbar ist, siehe bspw. https://haveibeenpwned.com
Meine Mailadresse ist bspw. dank Adobe nicht mehr "unbekannt".

Das Angriffsszenario für private Mailkonten, wenn damit ein lesender Zugriff auf's Postfach machbar ist, sollte durchaus auch abschrecken. Bspw. könnte ein Angreifer deine Mailadresse bei Passwort-Reset Formularen nutzen und dann den zugeschickten Link zum eigentlich Reset selbst öffnen, sodass damit beliebige Konten (Online-Shops usw., halt alles was einen Passwort Reset mit Bestätigungsmail ohne zweiten Authentifizierungsfaktor erlaubt) gekapert werden können.

 

[nussratte]

Anhang anzeigen 290329

https://support.apple.com/de-de/HT208094

was aber auch nicht mit allen geht.
Safari zB macht das nicht mit

 

[medeman]

Ich frage mich, ob dann heute Abend ein iOS 13.4.2 erscheint oder ob 13.4.5 auf heute vorgezogen wird. Oder ob man tatsächlich noch bis nächste Woche warten muss.

 

[maba_de]

Ich frage mich, ob dann heute Abend ein iOS 13.4.2 erscheint oder ob 13.4.5 auf heute vorgezogen wird. Oder ob man tatsächlich noch bis nächste Woche warten muss.

Apple relativiert die Lücke gerade massiv, da wird vermutlich kein kurzfristiger Patch kommen.
Siehe hier:
https://www.mactechnews.de/news/art...uecke-angeblich-nicht-gefaehrlich-174896.html