Zero Day Lücke in Mail

[Tekanewa]

Ich habe mir jetzt die GMail App installiert. Ist eh mein default Postfach. Nachdem sich meine AW seit einer Weile auch nicht mehr haptisch bei mir gemeldet hat, wenn eine Mail reingekommen ist (hatte dies auch im passenden Thread mal erwähnt), stand ich mit der Mail App eh auf Kriegsfuß. Installiert, eingerichtet, Testmail an mich selbst = Push und Haptik auf der AW.
Was will ich mehr?

 

[lulesi]

Euren Datenschutzbeauftragten fragt ihr lieber nicht? Der Einsatz von US-„Clouds“ ist in der EU jedenfalls nachweislich nicht gestattet.

Ist das so?
Niemand der in der EU lebt darf US-Clouds nutzen?
Wie kann ich denn kontrollieren wo Dropbox, Apple, Microsoft, Google, etc meine Daten speichert?
Nicht das ich noch gegen Gesetze verstoße.

 

[maba_de]

Ist das so?

nein, ist es nicht. Aber jemand, der behauptet, das US Clouds "nachweislich" nicht gestattet sind zeigt nur, das er keine Ahnung hat.

Hier noch ein Statement des NRW Datenschutzes zum Thema:
https://www.ldi.nrw.de/mainmenu_Dat...srechte/Schutz_der_Persoenlichkeitsrechte.php

 

[warnochfrei]

Na gut, da hier auf die persönliche Ebene hinabgestiegen wird, hier die Langform:
https://www.computerwoche.de/a/in-der-wolke-ist-die-freiheit-nicht-grenzenfrei,3544860
Ergänzend insbesondere zu Office 365:
https://www.datenschutzbeauftragter...e-365-dsgvo-konformer-einsatz-im-unternehmen/
Zusammenfassung: Hängt davon ab, Vorsicht bleibt geboten.

 

[maba_de]

Die USA gelten zu den sicheren Drittländern, aber lassen wir das, das bringt nichts.
Und persönlich ist es nicht, du hast halt falsche Behauptungen aufgestellt.

Weiter im Thema.

 

[warnochfrei]

Die USA gelten zu den sicheren Drittländern

Das invalidiert die Unvereinbarkeit mit der DSGVO unter bestimmten Umständen nicht.

Und persönlich ist es nicht

Dein Umgangston ist einfach unter aller Sau, aber das hörst du sicher öfter.

 

[agrajag]

Also wir sind gerade auf Office 365 samt Outlook umgestiegen, scheinbar hat die IT damit keine Probleme bei uns. Ich arbeite aber auch nicht in einem kleinen Unternehmen, vielleicht spielt das ne Rolle.

Wir sind nicht unbedingt klein. Immerhin eine AG und viele Größen aus Industrie und Wirtschaft als Kunden.

 

[wibsi]

Die Annahme, dass ein Angreifer deine private Mailadresse nicht kennt ist sehr fahrlässig. Es gibt genug Leaks bei diversen großen Läden, die dafür sorgen konnten, dass deine Mailadresse frei verfügbar ist, siehe bspw. https://haveibeenpwned.com
Meine Mailadresse ist bspw. dank Adobe nicht mehr "unbekannt".

Das Angriffsszenario für private Mailkonten, wenn damit ein lesender Zugriff auf's Postfach machbar ist, sollte durchaus auch abschrecken. Bspw. könnte ein Angreifer deine Mailadresse bei Passwort-Reset Formularen nutzen und dann den zugeschickten Link zum eigentlich Reset selbst öffnen, sodass damit beliebige Konten (Online-Shops usw., halt alles was einen Passwort Reset mit Bestätigungsmail ohne zweiten Authentifizierungsfaktor erlaubt) gekapert werden können.

Hallo, das entspricht genau meiner Antwort, Apple hätte sicher sofort etwas unternommen wenn es notwendig gewesen wäre, aber du kennst dein System selber gut genug um zu handeln oder nicht und ja, ich vertraue Apple ansonsten würde ich Android Geräte verwenden..
Antwort von Apple:
https://www.heise.de/mac-and-i/meld...Apple-verspricht-schnellen-Patch-4709192.html

 

[maba_de]

Das BSI schätzt das Risiko als sehr hoch ein:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html

 

[TheMenace]

Dadurch, dass die Lücke jetzt allgemein bekannt ist und kurzfristig geschlossen werden dürfte, halte ich es für wahrscheinlich, dass potentielle Angreifer jetzt bereit schießen werden, um in der verbleibenden Zeit bis zum Patch noch so viel „Beute“ wie möglich zu machen.

Jeder mag das für sich entscheiden. Für mich halte ich für vertretbar, 1-2 Wochen lang auf die Mail.app zu verzichten und Mails nur am Desktop abzurufen und auf Nummer sicher zu gehen.

 

[iKiel]

Jeder mag das für sich entscheiden. Für mich halte ich für vertretbar, 1-2 Wochen lang auf die Mail.app zu verzichten und Mails nur am Desktop abzurufen und auf Nummer sicher zu gehen.

Hatte ich ja auch schon geschrieben. Die ganze Diskussion ist hinfällig, die Warnung ist da, und es warnt ja nicht irgendwer.... ich verzichte auch erst einmal auf die Mail.App

 

[giesbert]

Das BSI schätzt das Risiko als sehr hoch ein:

Das BSI stützt sich auf ZecOps. Die Leute von Google Zero wiederum sind skeptisch, ob ZecOps ihre Datenfunde richtig interpretiert.
https://stadt-bremerhaven.de/apple-spielt-fehler-in-der-ios-mail-app-herunter/https://www.theverge.com/2020/4/22/...ay-exploit-security-flaw-mail-app-ios-zec-ops
Unterm Strich haben wir da als Außenstehende wieder einmal "die einen sagen so, die anderen so".

Wirklich beurteilen kann das von uns hier eh niemand (ich geh mal davon aus, dass die echten Sicherheits-Experten sich nicht in Foren wie diesem tummeln ;-)).

Wie man auf die Meldung reagiert, ist wohl eher eine Frage des persönlichen Temperaments. Ich für meinen Teil werde die Mail-App vom iPhone bestimmt nicht löschen, um sie gegen Outlook, Spark oder gar einen Webmailer auszutauschen.

 

[maba_de]

Wirklich beurteilen kann das von uns hier eh niemand (ich geh mal davon aus, dass die echten Sicherheits-Experten sich nicht in Foren wie diesem tummeln ;-)).

Da ich aufgrund persönlicher beruflicher Erfahrung weiß, das die Jungs beim BSI sehr fit sind nehme ich das sehr ernst.
Ich bin kein „Security Experte“, aber habe viel mit diesen zu tun.
Bei uns in der Firma wird bei allen Geräten die Mail.app deaktiviert, wenn bis Dienstag kein Update da ist.

 

[giesbert]

Da ich aufgrund persönlicher beruflicher Erfahrung weiß, das die Jungs beim BSI sehr fit sind nehme ich das sehr ernst.
Bei uns in der Firma wird bei allen Geräten die Mail.app deaktiviert, wenn bis Dienstag kein Update da ist.

Oh, ernst nehme ich das BSI auch (das ist wesentlich besser als sein Ruf in manchen Besserwisserkreisen). Und wenn ich für ein Unternehmen oder auch nur für Systeme anderer verantwortlich wäre, würde ich auch auf Nummer sicher gehen und Mail.app vorerst deaktivieren. Aber für mich als Privatperson entscheide ich da anders ;-).

 

[Carmageddon]

Da ich aufgrund persönlicher beruflicher Erfahrung weiß, das die Jungs beim BSI sehr fit sind nehme ich das sehr ernst.

Manchmal muss ich Dir auch Recht geben.
Das BSI ist für mich (und auch andere in unserer Branche) eine der ersten Adressen, was CTI (Cyber Threat Intelligence) angeht. Die geben Warnungen weder ungeprüft noch aus Jux und Tollerei heraus.
Deshalb empfehle ich dringend nicht selbst irgendwelche Aussagen von Apple - die in der Vergangenheit bzgl. Lücken schon mehrfach geschlampt haben - hinzuzuziehen und evtl. selbst zu interpretieren, wie es manche hier machen.

 

[Schlenk]

Was ich immer nicht verstehe: wenn die Sicherheitslücke so relevant ist, warum hat dann das Qualitätsmanagement von Apple nicht funktioniert? Und wenn es den Fehler schon nicht bemerkt hat, warum dauert dann der Fix so lange? Ich schaue, seit dem ich von dem Mangel erfahren habe, regelmäßig, ob es ein Update für mein iPhone gibt. Bisher nichts.... Anstatt das jetzt schnell zu erledigen, dauert es. Kann mir doch keiner erzählen, dass so ein global player so ein Loch nicht innerhalb vom halben Tag gestopft kriegt.

 

[maba_de]

dass so ein global player so ein Loch nicht innerhalb vom halben Tag gestopft kriegt.

die Lücke ist seit vielen Jahren aktiv, jetzt kommt es auf ein paar Tage auch nicht mehr an.
Apple schließt die mit dem nächsten Update ja auch und ich gehe stark davon aus, dass das in der kommenden Woche kommt.

 

[maba_de]

Aber für mich als Privatperson entscheide ich da anders ;-).

wobei das hier schon EXTREM krass ist:

Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden.

*Zitat aus der BSI Quelle*

 

[Tekanewa]

wobei das hier schon EXTREM krass ist:

*Zitat aus der BSI Quelle*

Genau. Und dann überlegt man, wie lange man bereits iOS13 auf den Geräten installiert hat und wie groß das tägliche Mailaufkommen ist. Völlig losgelöst vom Gedanken, ich sei als Privatperson uninteressant. Mir ging die Mail.app schon länger auf die Nerven, da seit iOS13 einiges nicht wirklich richtig lief und meine AW keine Haptik mehr beherrschte, wenn eine Mail reinflatterte. Nutze jetzt die GMail App und siehe da, läuft alles.

 

[lulesi]

Es ist erschreckend dass diese Lücke seit 6 ? Jahren existiert und wahrscheinlich von Regierungen, Geheimdiensten und Verbrechern gezielt ausgenutzt wurde. Vermutlich gibt es von solchen Lücken noch mehrere und zwar in allen Betriebssystemen.

Ich befürchte der einzige echte Schutz ist der Verzicht auf diese Technik im allgemeinen.
Eine Strategie kann das vermeiden von Standardsoftware sein, deren Schwachstellen ein
"in der Branche bekanntes" Einfallstor sein könnten.
Wenn man dann unbekannte Software mit wenig Verbreitung z.B. als Email client nutzt
hat man vielleicht das Glück dass diese Angriffe ins leere laufen.

Kann man eigentlich SMS abschalten? Und Whats App und Facebook sollte man
als Paranoiker auch zwingend vermeiden.