Der Sicherheitsfirma Zecops ist es gelungen, gleich zwei Fehler in Mail für iOS und iPadOS zu entdecken, über die sich Angreifer Zugang zum Arbeitsspeicher des iPhones oder iPads verschaffen und von dort auch einen schadhaften Code ausführen können.

Zwar weisen die Entwickler darauf hin, dass für die Komplettübernahme des Gerätes noch weitere Bugs im Kernel notwendig sind. Sie sind sich jedoch ziemlich sicher, dass auch diese bekannt sind, weil die beschriebenen Angriffe in der letzten Zeit in mindestens sechs US-amerikanischen Firmen nachverfolgt werden konnten. Deshalb hat sich Zecops entschlossen, die Informationen sofort zu veröffentlichten, um die Nutzer zu warnen und ihnen nahe zu legen, bis iOS 13.4.5 auf alternative Mail-Clients wie Google Mail oder Outlook umzusteigen.

Erschwerend kommt hinzu, dass der Nutzer, zumindest unter iOS 13, von dem Angriff fast gar nichts merkt. Die Mail-App kann zuweilen etwas langsamer reagieren, aber haben die Hacker das Gerät erfolgreich übernommen, können sie sogar die präparierten Mails danach löschen und Spuren verwischen. Unter iOS 12 ist ein Klick auf die schadhafte Mail notwendig, da das Vorgänger-System die eingegangenen Mails nicht automatisch im Hintergrund lädt und entpackt.

Gleich zwei Fehler im MIMO-Framework gefunden

Damit sich der Angreifer zum Kernel eines iPhones verschafft und von dort aus mittels weiterer Bugs den schadhaften Code ausführen kann, sind zwei Schlupflöcher in Mail notwendig. Laut Zecops finden sich diese Lücken in der Logic von MIME-Frameworks der Apple Mail unter iOS. MIME (Multipurpose Internet Mail Extensions) erlaubt in Mail die Darstellung von Schriften anders als ASCII und weiteren Dateitypen wie Bilder, Audio-Dateien und Videos.

Eine genaue Beschreibung der beiden Fehler findet sich im Blogpost von Zecops unter "Crash Forensic Analytics". Sehr vereinfacht ausgedrückt, erlaubt ein Fehler in der Behandlung großer Daten in der Mail den Zugang zu nicht dafür vorgesehenen Bereichen im Arbeitsspeicher eines iPhones: Kann das System eine zu große Datei in der empfangenen Mail nicht erfolgreich auf die vorgegebene Größe beschneiden, beschreibt sie Arbeitsspeicherbereiche, die dafür nicht vorgesehen sind. Dies wiederum eröffnet eine Angriffsfläche für weitere Bugs.

Die zweite Lücke betrifft ebenfalls die Bearbeitung von zu großen Daten und kann zu einem Pufferüberlauf im Speicher führen. Die beiden Fehler in der Kombination erlauben es, einer Mail mit extra großen Daten, die Forscher sprechen von ein paar Gigabyte von Text oder anderen Dateien, im betroffenen iPhone die Tür für die unbemerkte Übernahme zu öffnen.

Wer ist betroffen

Zecops hat die Angriffe per iOS-Mail im realen Leben beobachtet, nach dessen Angaben sind mehrere US-Unternehmen aus der Fortune-500-Liste betroffen. Ein Mitarbeiter der Geschäftsführerebene eines japanischen Netzbetreibers ist ebenfalls dabei sowie eine Person des öffentlichen Lebens aus Deutschland und ein europäischer Journalist.

Wie sieht die Angriffs-Mail aus?

Da der Angriff über den Download der besonders großen Daten in Mail stattfindet, blendet Mail auf dem iPhone nicht deren Inhalt, sondern eine Warnung "This Message cannot be displayed because of the way it is formatted", in etwa "Diese Nachricht kann nicht dargestellt werden...". In der Übersichtsliste eines Posteinganges kann dagegen stehen: "Diese Mail hat keinen Inhalt." Unter iOS 12 kann Mail abstürzen, unter iOS 13 passiert nicht mal das, das Programm kann etwas träge auf die Befehle der Nutzer reagieren, das war's dann.

Seit wann gibt es diese Lücke(n)?

Laut Zecops gibt es diese Fehler in iOS seit mindestens iOS 6, frühere Versionen hat man nicht untersucht. Die ersten Angriffe in der realen Welt hat man bis Januar 2018 nachverfolgen können. Apple hat von den Angriffen am 19. Februar 2020 erfahren, am 23. und 31. März hat Zecops die Einzelheiten zu den beiden beschriebenen Lücken an die Entwickler von Apple geschickt. Am 15. April hat Apple die Beta von iOS 13.4.5 veröffentlicht, die diese Lücken schließt.

Wer ist betroffen?

Das aktuelle iOS 13.4.1 hat die Lücken noch nicht geschlossen. Deswegen empfehlen die Forscher, entweder die verfügbare Beta von iOS 13.4.5 zu installieren oder derweil auf andere Clients umsteigen, bis Apple die Systeme aktualisiert. macOS ist dagegen nicht davon betroffen. (Macwelt)