she.net verwendet Cookies, um Ihnen die Website bestmöglich darzustellen. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu.
X
Immer auf dem neuesten Stand!

28.04.2020
BSI warnt vor Einsatz von iOS App "Mail"


BSI warnt vor Einsatz von iOS App "Mail" - Update 21.05.2020: Lücke in iOS-Mail-App geschlossen.

please fill in

Der Security-Dienstleister ZecOps hat eine Warnung vor mehreren Sicherheitslücken in der Mail-App von iOS veröffentlicht. Betroffen sind alle iPhones und iPads ab iOS-Version 6.

Angreifer können durch das Zusenden von speziell präparierten Mails die Kontrolle über die Mail-App übernehmen. Durch den vollständigen Zugriff auf die darin konfigurierten E-Mail-Konten können Nachrichten gelesen, modifiziert und gelöscht werden.

Das Bundesamt für Sicherheit in der Informationstechnik warnt in diesem Zusammenhang vor der Nutzung der iOS-Mail-App und empfiehlt, diese zu deaktivieren bzw. zu deinstallieren.

Apple wird das Problem mit dem nächsten iOS-Update beheben. Bis dieses Update auf allen Ihren iOS-Geräten installiert ist, muss der Schutz vor möglichen Angriffen mit anderen Mitteln erfolgen.

iOS-Aktualisierung erzwingen

In der nächsten iOS-Version wird Apple die Lücken in der Mail-App schließen. Sobald diese neue Version zur Verfügung steht, sollte sie schnellstmöglich auf alle iPhones und iPads ausgerollt werden unterstützt durch ein zentrales MDM. Eine zentrale Richtlinie aktiviert die Synchronisation von E-Mails in der iOS-Mail-App erst dann, wenn die neue iOS-Version auf dem Gerät installiert ist.

Deaktivieren der Mail-App

Das BSI empfiehlt die Deaktivierung und gegebenenfalls Deinstallation der Mail-App. Wird die automatische Synchronisation des E-Mail-Kontos ausgeschaltet und die Mail-App vor dem Geräteanwender verborgen, ist ein Angriff nicht mehr möglich.

Sofern Sie Ihre Mobilgeräte über ein zentrales “Mobile Device Management” (MDM) verwalten, können Sie die Mail-App durch eine zentral vorgegebene Richtlinie deaktivieren. Ohne zentrales MDM muss jeder Geräteanwender die Rekonfiguration selbst manuell durchführen.

Alternative Web-Zugriff

Eine mögliche Alternative zur IOS Mail-App ist der Zugriff per Web-Browser. Der Microsoft Exchange-Server bietet mit „Outlook Web Access“ Zugriff auf E-Mails, Termine und Kontakte. Eine Anzeige auf Mobilgeräten wird ebenfalls unterstützt.

Alternative E-Mail-Apps

Moderne Mobile Device Management oder Security-Produkte enthalten eigene E-Mail-Apps (z. B. Boxer von VMWare/AirWatch oder Capsule von Check Point). Diese sind für den Unternehmenseinsatz ausgelegt und schützen Firmeninhalte zusätzlich vor dem Zugriff anderer Komponenten auf dem Mobilgerät. Konfiguriert und ausgerollt werden diese E-Mail-Apps über das MDM.

Schutzmaßnahmen am Perimeter

Vor der Auslieferung an die Postfächer der Endanwender werden Firmen-E-Mails in der Regel von einem Viren-Scanner untersucht. Wir prüfen derzeit mit Herstellern unserer E-Mail-Sicherheitslösungen, in welchem Umfang die einzelnen Produkte für iOS gefährliche E-Mails erkennen und blockieren können. Sobald uns belastbare Aussagen vorliegen, werden wir Sie informieren.

Unterstützung durch SHE

Gerne unterstützen unsere Experten Sie bei den Aufgaben. Beispielsweise bei der manuellen Deaktivierung der Mail-App, bei der Einrichtung Ihrer iOS Geräte auf Exchange Web Access, die Konfiguration Ihres besehenden MDMs oder die Konzeption und Einführung einer solchen Lösung.

Ansprechpartner

Jürgen Spieß Director Sales / Prokurist
T +49 621 5200 - 234
juergen.spiess@she.net