Zero Day Lücke in Mail

Schlenk schrieb:
Wie kann ich eigentlich eine Beta-Version installieren und nachher wieder die "reguläre"?

p.s.: Es nervt mich unglaublich an, dass ein so schwerer Fehler nicht umgehend behoben wird. Jeden Tag schaue ich nach einem Update - aber einfach nichts da. Ich begreife das nicht. Armutszeugnis für Apple.
Zum Vergrößern anklicken....

Es gibt 2 Arten von Beta Programmen.
1. Das "echte" Apple Developer Programm, dafür benötigst Du einen Entwickler Account.
2. Das "Public Beta"programm, das ist das an dem Du teilnehmen kannst.

Dazu brauchst Du nur auf
https://beta.apple.com/sp/de/betaprogram/
gehen, dort findest Du alle Infos und kannst dich anmelden und teilnehmen.

Es wird dabei ein Konfigurationsprofil installiert, dadurch bekommst Du das aktuelle IOS-Public Beta.

Um die Teilnehme zu beenden, musst Du nur das Konfigurationsprofil löschen, dann kannst Du auf die nächste
offizielle Version updaten, die deiner Versionsnummer oder höher entspricht, sobald diese erscheint.

Du solltest also keine höhere Nummer als 13.5.0 PBx installieren, damit Du anschliessend zur offiziellen 13.5.0 zurückkehren kannst.
 
  • Gefällt mir
Reaktionen: KOJOTE und Schlenk
Maulwurfn schrieb:
Und die hunderten Meldungen tatsächlich betroffener Nutzer jeden Tag …
Zum Vergrößern anklicken....
Die natürlich mitbekommen, das jemand das Postfach kompromittiert hat.
Immerhin geht ja freundlicher Hacker sei Dank ein Fenster auf mit dem Hinweis, das sie gerade gehackt wurden. ;)
Wenn das BSI und andere schreiben, dass die Lücke aktiv ausgenützt wird kannst du davon ausgehen, dass das so ist.
 
  • Gefällt mir
Reaktionen: Birma, rml, Windowsade und 2 andere
lulesi schrieb:
Es gibt 2 Arten von Beta Programmen.
1. Das "echte" Apple Developer Programm, dafür benötigst Du einen Entwickler Account.
2. Das "Public Beta"programm, das ist das an dem Du teilnehmen kannst.

Dazu brauchst Du nur auf
https://beta.apple.com/sp/de/betaprogram/
gehen, dort findest Du alle Infos und kannst dich anmelden und teilnehmen.

Es wird dabei ein Konfigurationsprofil installiert, dadurch bekommst Du das aktuelle IOS-Public Beta.

Um die Teilnehme zu beenden, musst Du nur das Konfigurationsprofil löschen, dann kannst Du auf die nächste
offizielle Version updaten, die deiner Versionsnummer oder höher entspricht, sobald diese erscheint.

Du solltest also keine höhere Nummer als 13.5.0 PBx installieren, damit Du anschliessend zur offiziellen 13.5.0 zurückkehren kannst.
Zum Vergrößern anklicken....
Super, Danke Dir!
 
maba_de schrieb:
Die natürlich mitbekommen, das jemand das Postfach kompromittiert hat.
Immerhin geht ja freundlicher Hacker sei Dank ein Fenster auf mit dem Hinweis, das sie gerade gehackt wurden. ;)
Wenn das BSI und andere schreiben, dass die Lücke aktiv ausgenützt wird kannst du davon ausgehen, dass das so ist.
Zum Vergrößern anklicken....

Natürlich würden die Betroffenen das eher nicht mit bekommen.

Aber es gibt doch auch ein paar Forscher, die die Angaben von ZecOps in Sachen tatsächlicher Ausnutzbarkeit der Lücken 'bezweifeln'.

Die warten dann auch noch auf weiteren Input seitens ZecOps.
 
warnochfrei schrieb:
Euren Datenschutzbeauftragten fragt ihr lieber nicht? Der Einsatz von US-„Clouds“ ist in der EU jedenfalls nachweislich nicht gestattet.
Zum Vergrößern anklicken....

Oh weh ... wo kommt denn sowas her? Kannst Du den "Nachweis" mal mit einer Quelle belegen?
 
Es ist auf jeden Fall nicht unproblematisch:

Vorsicht bei der Nutzung von US-Cloud-Diensten
Annähernd zur gleichen Zeit wie die DSGVO ist der CLOUD Act in den USA in Kraft getreten - dieser erlaubt US-Behörden den Zugriff auf sensible Daten zur Strafverfolgung. Das ist jedoch nicht DSGVO-konform.

(Internet World Business, 6.11.2019)
 
  • Gefällt mir
Reaktionen: warnochfrei
Man muss bei dem Thema aber auch unterscheiden, ob nur der Anbieter ein US Unternehmen ist oder auch die Daten tatsächlich in einem Rechenzentrum in den USA liegen. Gerade die großen Anbieter wie AWS oder Microsoft Azure bieten eben explizit auch europäische bzw. deutsche Rechenzentren (ggf. aber mit weniger Funktionen als die US-Versionen). Diese deutschen Rechenzentren werden auch von deutschen Großkonzernen genutzt und ich glaube kaum, dass die gesamte Datenschutzabteilung in solchen Konzernen keine Ahnung von ihrem Job hat. Wenn doch hilft auch eine DSGVO nicht mehr ;)
 
  • Gefällt mir
Reaktionen: Windowsade
Ich verstehe nicht warum dieser Fehler immer noch nicht mit einer Final iOS Version behoben wurde :unsure:
 
  • Gefällt mir
Reaktionen: Applematze und Schlenk
Windowsade schrieb:
Ich verstehe nicht warum dieser Fehler immer noch nicht mit einer Final iOS Version behoben wurde :unsure:
Zum Vergrößern anklicken....
Weil Apple in seiner Stellungnahme gesagt hat, dass aus ihrer Sicht der Fehler keineswegs kritisch ist und auch nicht ausgenutzt wird. Nur in Deutschland wird der Fehler anders gesehen - was auch die Berichterstattung auf US-Seiten zeigt, wo kein Mensch nach einem schnellen Update schreit und der Fix in der Beta-Version nicht mal erwähnt wird. Aus Apple-Sicht handelt es sich also um eine eher unwichtige Sicherheitslücke, deren Fix noch ein paar Wochen warten kann. Ihnen - und der US-Öffentlichkeit - ist hingegen viel wichtiger, dass die Schnittstelle für die nationalen Corana-Apps korrekt funktioniert. Entsprechend werden sie das Update erst veröffentlichen, wenn diese Schnittstelle korrekt arbeitet. Ich gehe von einem Release nächste Woche aus.
 
Windowsade schrieb:
Ich verstehe nicht warum dieser Fehler immer noch nicht mit einer Final iOS Version behoben wurde :unsure:
Zum Vergrößern anklicken....

Weil Apple -und auch andere Forscher- das nicht so eilig und gefährlich einstufen.

https://www.theverge.com/2020/4/24/...p-security-flaw-statement-no-evidence-exploit

"Apple’s full statement can be found below:


“Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher’s report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users. The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers. These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance.”

ZecOps hatte ja in Aussicht gestellt, weiteren Input bekannt zu geben. Ist aber wohl noch nicht geschehen.
 
In dem Unternehmen meiner Frau scheint die IT einfach den Zugriff der IOS Geräte auf den Exchange Server abgeschaltet zu haben.
Seitdem der Bug öffentlich bekannt ist, klappt der E-mail Verkehr weder über das Iphone noch über das Ipad.

In der Video-Abteilungsleiterkonferenz hiess es dann: "Die IT hat gesagt dass liegt an Apple dass das nicht mehr klappt, aber die würden daran arbeiten.
Sie wüssten nicht wie lange das noch dauert".

Was ich über solch ein rücksichtsloses Vorgehen denke, sage ich lieber nicht...
 
lulesi schrieb:
Was ich über solch ein rücksichtsloses Vorgehen denke, sage ich lieber nicht...
Zum Vergrößern anklicken....
rücksichtslos?
Das ist, je nach Firma, das EINZIG Richtige in der Zeit.
Aber ist klar, geht gegen Apple und deine Empörung ist sofort auf 100.
Apple muss hier liefern, alles andere ist grob fahrlässig.
 
  • Gefällt mir
Reaktionen: BalthasarBux und Birma
maba_de schrieb:
rücksichtslos?
Das ist, je nach Firma, das EINZIG Richtige in der Zeit.
Aber ist klar, geht gegen Apple und deine Empörung ist sofort auf 100.
Apple muss hier liefern, alles andere ist grob fahrlässig.
Zum Vergrößern anklicken....

Schlage doch mal unter der Vokabel "Vorurteil " nach, und dann überlege mal warum Du immer urteilst
ohne dich vorher über die Details zu informieren.

Hunderte von Mitarbeitern, die im Homeoffice sitzen ohne Angaben eines Grundes einfach den E-mail zugang
abzuklemmen ist rücksichtslos. Als das dann hochkochte, zu lügen und dies auch technische Probelme
zu schieben ist auch nicht besser.

Ich habe volles Verständnis dafür, wenn die IT-Verantwortlichen in einem Unternehmen sagen:
"Aus Sicherheitsgründen nutzen wir Mail auf IOS bis zum Schliessen der Lücke nicht"
Ich habe auch Verständnis dafür dass sie sagen "Aus Sicherheitsgründen nutzen wir nie wieder Mail"

Es hätte aber durchaus andere Möglichkeiten gegeben, die weniger Rücksichtlos gewesen wären:

- Man hätte die Mitarbeiter informieren können, dass der IOS-Mail Zugriff aus sicherheitsgründen bis auf weiteres gesperrt wird.

- Man hätte den Mitarbeitern eine Alternative vorschreiben können, z.B. Outlook.

So sitzen aber hunderte von Mitarbeitern da, und versuchen immer wieder über Iphone oder Ipad an ihre
E-mails zu kommen. Die Alternative ist es sich über ein Notebook und ein mehrstufiges System über Token
online ins firmennetz einzuwählen um dort die E-mails zu lesen.
Dies ist so aufwändig und kompliziert, das wird von den Mitarbeitern nur äusserst ungern gemacht.
 
lulesi schrieb:
...scheint die IT einfach den Zugriff der IOS Geräte auf den Exchange Server abgeschaltet zu haben.
...
Was ich über solch ein rücksichtsloses Vorgehen denke, sage ich lieber nicht...
Zum Vergrößern anklicken....

Vielleicht spekulieren sie auf Corona Soforthilfe...
 
lulesi schrieb:
Hunderte von Mitarbeitern, die im Homeoffice sitzen ohne Angaben eines Grundes einfach den E-mail zugang
abzuklemmen ist rücksichtslos.
Zum Vergrößern anklicken....
der Arbeitgeber darf also nicht entscheiden, wie die Angestellten arbeiten?
Die Angestellten haben, wie du selbst schreibst, Notebooks, über die sie Zugang zu ihren Mails haben, insofern hat der Arbeitgeber offensichtlich die notwendigen Arbeitsgeräte zur Verfügung gestellt.

Hätte Apple die Lücke kurzfristig gefixt hätten wir das Thema gar nicht.
 
  • Gefällt mir
Reaktionen: Birma
maba_de schrieb:
der Arbeitgeber darf also nicht entscheiden, wie die Angestellten arbeiten?
Die Angestellten haben, wie du selbst schreibst, Notebooks, über die sie Zugang zu ihren Mails haben, insofern hat der Arbeitgeber offensichtlich die notwendigen Arbeitsgeräte zur Verfügung gestellt.

Hätte Apple die Lücke kurzfristig gefixt hätten wir das Thema gar nicht.
Zum Vergrößern anklicken....

Es fehlte wohl offenbar die gute Kommunikation zwischen AG/IT und AN.

So wie bei einem 'Weltkonzern' mit 300000 MA, der gerade mit Ransomware 'beschäftigt' ist.

Da werden E-Mail verschickt an MA, die die Geräte nicht mehr nutzen sollen. Blöd nur, dass viele MA keinen Zugriff auf ihre Mails haben pp.

Und noch ein paar mehr sehr 'komische' Dinge.
 
ekki161 schrieb:
Es fehlte wohl offenbar die gute Kommunikation zwischen AG/IT und AN.
Zum Vergrößern anklicken....
das mag sein.
Aber sind wir ehrlich, würde Apple die Lücke zeitnah fixen hätten wir kein Problem.
So handeln die Firmen nach dem Ratschlag des BSI.

Bei uns gibt es nur full gemanagte Geräte, auf denen Mail+ installiert ist. Outlook dürfte ich auch nutzen, was ich aktuell auch tue.
Wenn ein Arbeitgeber das jedoch nicht will und auf die Standard Geräte verweist ist es eben so.
 
Ja klar sollte Apple das schnell fixen. Ist halt noch nicht final, weil Apple die Lücke als nicht so gefährlich einstuft.

maba_de schrieb:
So handeln die Firmen nach dem Ratschlag des BSI.
Zum Vergrößern anklicken....

Was in dem Beispiel von @lulesi wohl einigermaßen schlecht kommuniziert wurde.

maba_de schrieb:
Zudem haben die Mitarbeiter Arbeitsgeräte -
Zum Vergrößern anklicken....

Die in dem oben genannten Konzern wegen Ransomware und schon in großen Teilen von dieser verschlüsselter Daten pp. nicht mehr benutzt werden sollen. Nur teilt man das dort den MA -wenigstens teilweise- überhaupt nicht, oder auf Wegen mit, die die MA nicht mehr gehen konnten. ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten