Zero Day Lücke in Mail

[Tekanewa]

Da sich dem Thema noch keiner angenommen hat, fange ich mal an und verlinke 2 Artikel dazu.

Beunruhigend, wie ich finde.

Überlege jetzt tatsächlich, die Mail App zu ersetzen, wenigstens temporär.

https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

https://www.heise.de/mac-and-i/meld...Luecken-in-Apple-Mail-angreifbar-4707901.html

 

[warnochfrei]

Überlege jetzt tatsächlich, die Mail App zu ersetzen, wenigstens temporär.

Unter iOS gibt es keine deutlich besseren Mailapps; zumal jede zusätzliche App auch die Angriffsoberfläche erhöht.

 

[Tekanewa]

Ich weiß. Aber, Mails komplett zu ignorieren kann ja auch nicht der Weisheit letzter Schluß sein.

 

[AgentMax]

Public Beta installieren.

 

[maba_de]

was soll man sagen, nach der Lücke ist vor der Lücke.
Wichtig ist die Erkenntnis, das es keine sicheren Systeme mehr gibt. Apple User glauben das ja gerne immer noch .
Welche Maßnahmen daraus jeder für sich ableitet steht auf einem anderen Blatt.

 

[TSMusik]

Beunruhigend, wie ich finde.

Normal, wie ich finde. Bei der Code-Menge wird es immer irgendwelche Lücken geben, die dann baldmöglichst gefixt werden. Im konkreten Fall spätestens in iOS 13.4.5.

 

[warnochfrei]

Wichtig ist die Erkenntnis, das es keine sicheren Systeme mehr gibt. Apple User glauben das ja gerne immer noch

Hinsichtlich der Sicherheit sind Applesysteme noch nie für ihre Vorbildfunktion bekannt gewesen.

 

[maba_de]

Hinsichtlich der Sicherheit sind Applesysteme noch nie für ihre Vorbildfunktion bekannt gewesen.

in der Vergangenheit standen sie halt nicht so im Fokus.
Vermutlich wird jetzt wieder jemand mit dem Clickbait Hinweis kommen und das negative Presse über Apple einfach mehr Klicks bringt. Ich kann mit so Argumenten nichts anfangen.

 

[noodyn]

Unter iOS gibt es keine deutlich besseren Mailapps; zumal jede zusätzliche App auch die Angriffsoberfläche erhöht.

Mag zwar richtig sein, dass die Mail.app gut ist, aber das ist ja gerade nicht die Frage. Und die Nutzung einer anderen App erhöht NICHT die Angriffsoberfläche, wenn man die Mail-App einfach bis zum Patch deaktiviert oder löscht.

 

[Tekanewa]

Normal, wie ich finde. Bei der Code-Menge wird es immer irgendwelche Lücken geben, die dann baldmöglichst gefixt werden. Im konkreten Fall spätestens in iOS 13.4.5.

• The vulnerabilities exist at least since iOS 6 – (issue date: September 2012) – when iPhone 5 was released
• The earliest triggers we have observed in the wild were on iOS 11.2.2 in January 2018

Ist ja nicht so, als wenn die Lücke neu wäre.

 

[warnochfrei]

Und die Nutzung einer anderen App erhöht NICHT die Angriffsoberfläche, wenn man die Mail-App einfach bis zum Patch deaktiviert oder löscht.

Wie löscht man denn Systemapps?

 

[ekki161]

https://support.apple.com/de-de/HT208094

 

[maba_de]

wobei die App nicht wirklich komplett gelöscht wird.

 

[warnochfrei]

Eben.

 

[Dextera]

Eben.

Aber sicher auch keine Mails mehr abruft ...

 

[TSMusik]

Ist ja nicht so, als wenn die Lücke neu wäre.

Hat ja keiner behauptet. Aber baldmöglichst heißt in diesem Zusammenhang, Apple hat am 23./31.3. für die jeweilige Lücke ein Proof of Concept bekommen und am 15./16.4. einen Patch in der Beta veröffentlicht (Quelle).

Hättest Apple ja schon zu iOS 6 Zeiten darüber informieren können, dann wäre es schon länger gefixt.

 

[nordmond]

Zufälle gibt es .... und dann wird auch gleich noch – als Apple-Gesundheits-Solidaritäts-Service sozusagen – die Kontaktverfolgungsschnittstelle in das iPhone integriert. Damit auch schön jeder das Update installiert. Manche Sicherheitslücken hebt man sich gerne auch mal etwas länger auf, falls man die noch irgendwie brauchen könnte ;-) Ein Schelm wer böses dabei denkt!

Link zu heise.de

Würde man die Kontaktverfolgungsschnittstelle unbrauchbar machen können, wenn BT immer aus bleibt?

 

[agrajag]

Wie löscht man denn Systemapps?

Im Zweifel reicht Nichtbenutzung und komplettes Zurücksetzen der Anwendung.

 

[iPhill]

IMHO: Die Lücke mag technisch gesehen gravierend sein, aber A) nehme ich an, dass sie gegen "Private ", die in keiner Weise von öffentlichem Interesse sind, kaum verwendet werden dürfte und B) müsste eine entsprechend kritische E-Mail erstmal geöffnet werden, was eigentlich auch nicht unbedingt der Fall sein sollte.
Zudem: Beispielsweise Google filtert Spam und "verdächtige" Nachrichten deart zuverlässig, dass ich mir bei den grösseren Anbietern als Privater kaum sorgen mache; und bei Business-Accounts, lass ich's der IT Sorge sein.

 

[warnochfrei]

dass sie gegen "Private ", die in keiner Weise von öffentlichem Interesse sind, kaum verwendet werden dürfte

Puh, Snowden ist echt schon so lange her?