Angreifer können offenbar über manipulierte E-Mails Schadcode auf iPhones und iPads einschleusen. Dadurch ist es möglich, dass E-Mails ausgelesen, gelöscht und versandt werden können. Zusammen mit weiteren Sicherheitslücken besteht auch die Möglichkeit zur Ausführung von bösartigem Programmcode auf dem iOS-Gerät. iOS-Nutzer sollten daher die Mail-App vorübergehend nicht benutzen. Ein Patch von Apple liegt bereits vor, ist aber noch nicht allgemein verfügbar.
Weitere Informationen sind hier zu finden:
https://www.heise.de/mac-and-i/meldung/iPhones-durch-Zero-Day-Luecken-in-Apple-Mail-angreifbar-4707901.html
https://www.heise.de/mac-and-i/meldung/Mail-Bugs-BSI-warnt-vor-iOS-4708945.html
Das Niedersachsen-CERT veröffentlichte dazu folgende Handlungsempfehlung:
Bis zum Bereitstellen eines Patches durch Apple und das Einspielen durch die Anwender sollten diese den automatischen Empfang von E-Mails durch den iOS-Mail-Client manuell selbst deaktivieren, soweit dies nicht zentralisiert durch ein Mobile Device Management (MDM) erfolgen kann:
- Einstellungen öffnen
- dann zu „Passwörter & Accounts“ scrollen
- dort ganz unten auf „Datenabgleich“ gehen
- Push-Schalter: Aus
- darunter alle Mail-Accounts, die „Push“ zeigen, auf „Manuell“ ändern
- ganz nach unten scrollen und „Manuell“ aktivieren.
Anschliessend die Mail-App beenden, falls sie im Hintergrund läuft:
- Bei Geräten mit Home-Button: Doppelt drücken, ansonsten vom unteren Rand hoch wischen
- dann die Mail-App finden und beenden (z.B. durch Hochschieben)
Vom Einspielen einer Beta-Version, in der die Sicherheits-Lücke bereits gefixt sein soll, raten wir für produktiv genutzte Geräte ausdrücklich ab.