BSI oder Apple?

BSI oder Apple?

Das BSI warnt aktuell vor Sicherheitslücken in Mail.app von iOS, Apple dementiert. Auf wen soll man sich da verlassen?

Das Sicherheitsunternehmen ZecOps Blog warnte am 20.4.2020 vor mehreren Sicherheitslücken in Apples Mail-Programm für iPhone und iPad. Das BSI (Bundesamt für Sicherheits- und Informationstechnik) warnt seit 23.4.2020 in einer Pressemitteilung vor der Verwendung der iOS-App „Mail“.  Während Apple auf Twitter gegenüber Mark Gurman von Bloomberg Stellung bezieht und die Gefahr als unkritisch einstuft, wiederholen auch Tage später die traditionellen Medien diese sensationelle Nachricht und verweisen auf die Warnung des BSI, die iOS-App „Mail“ zu löschen oder die Synchronisation abzustellen.

Natürlich warten nun alle auf das von Apple angekündigte iOS-Update. Aber damit scheint es Apple nicht besonders eilig zu haben. Wem soll man denn nun mehr Gehör schenken – dem BSI oder Apple?

Das BSI meldet in der Pressemitteilung: „Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. […]“

Apple verlautet dagegen sinngemäß, dass sie alle Sicherheits-Meldungen ernst nehmen und nach sorgfältiger Prüfung des Berichts festgestellt haben, dass die gemeldeten Sicherheitslücken kein Risiko für die Anwender darstellen, da die gemeldeten Probleme nicht ausreichen, um den Sicherheitsschutz von iPhone und iPad zu umgehen.
Hier der originale Wortlaut:

 

Details

Die Meldung von zecOPS erwähnt einerseits, dass die Sicherheitslücken „widely exploited in the wild in targeted attacks“ seien, vermutet aber andererseits, dass die Angriffe durch eine staatliche Organisation ausgeführt würden:

„We believe that these attacks are correlative with at least one nation-state threat operator or a nation-state that purchased the exploit from a third-party researcher in a Proof of Concept (POC) grade and used ‘as-is’ or with minor modifications (hence the 4141..41 strings).“

zecOPS meldet außerdem, dass unter den Betroffenen Einzelpersonen einer (!) Fortune 500-Organisation seien, außerdem ein Mitarbeiter eines japanischen Transport-Unternehmens, ein VIP aus Deutschland, Managed Security Service Provider aus Saudi-Arabien und Israel, ein europäischer Journalist und (vermutlich) ein Leiter eines schweizer Unternehmens.

Da fragen wir uns spontan: sehen so „widely exploited in the wild in targeted attacks“ aus? Oder sind es vielleicht doch eher genau sieben Betroffene und ein Verdachtsfall?

Fa. zecOPS interpretiert andererseits, dass die in einigen Geräten gefundenen Absturzprotokolle ein Hinweis darauf seien, dass die  Schwachstellen tatsächlich in einer breiten Basis ausgenutzt werden.

Empfehlungen des BSI

Die Standpunkte von zecOPS, BSI und Apple sind widersprüchlich. Wir möchten uns nicht auf eine bestimmte Schlussfolgerung festlegen und weisen darauf hin, dass die Empfehlungen des BSI (Bundesamt für Sicherheits- und Informationstechnik) für deutsche Unternehmen im Zweifelsfall eher bindend sind als die Bewertung des Risikos durch den Hersteller. Insofern empfehlen wir allen Inhabern von Unternehmen selbst zu entscheiden und im Zweifel eher den rechtlich relevanten Empfehlungen des Bundesamtes zu folgen.

 

 

 

No Comments

Sorry, the comment form is closed at this time.