26. April 2020

Sicherheitslücken in Apps müssen schon gravierend sein, wenn ZDF(1) und DLF(2) darüber berichten. In der Regel basieren solche Berichte auf Warnungen des BSI und sind entsprechend ernst zu nehmen. Das ist auch hier der Fall. In einer Pressemitteilung(3) vom 23.4.2020 warnte das BSI vor Einsatz von iOS-App “Mail”.

Das BSI stützt seine Warnung auf eine Untersuchung des Cyber Security Startups ZecOps, die am 20.4.2020 unter dem Titel „You’ve Got (0-click) Mail!“ im ZecOps Blog(4) veröffentlichte wurde.

Das BSI schätzt die Schwachstellen „besonders kritisch“ ein und empfiehlt das „Löschen der App “Mail” oder Abschaltung der Synchronisation“(3), solange kein Patch verfügbar ist.

In der NIST NVD Schwachstellendatenbank sind noch keine Details zu den beiden von ZecOps veröffentlichten Schwachstellen verfügbar. Der ZecOps Report ist somit die einzige Quelle für die Bewertung der BSI Warnung.

Um welchen Typ von Schwachstellen handelt es sich?

ZecOps hat eine “Out-Of-Bounds Write” und eine “Remote Heap Overflow” Schwachstelle in der iOS Mail App entdeckt. Diese „Buffer Overflow“ Schwachstellen bilden die Grundlage für die sogenannten Remote Code Execution Schwachstellen, die in der Regel als „kritisch“ eingestuft werden, da sie das Einschleusen von fremden Code in ein Programm erleichtern. Damit führt das Programm nicht mehr die beabsichtigten Anweisungen durch, sondern diejenigen, die der Cyberangreifer vorgibt. Soweit ist die Einschätzung des BSI korrekt.

Wer ist im Fokus der Angreifer?

ZecOps macht zu Beginn des Reports eine sehr interessante Aussage:

“Based on ZecOps Research and Threat Intelligence, we surmise with high confidence that these vulnerabilities – in particular, the remote heap overflow – are widely exploited in the wild in targeted attacks by an advanced threat operator(s).”

ZecOps vermutet mit hoher Sicherheit, das die Schwachstellen in großem Umfang in gezielten Angriffen ausgenutzt werden, und zwar von staatlichen Cyber-Akteuren oder von staatlich finanzierten Cyber-Akteuren. Seltsamerweise ist der Hinweis auf die „advanced threat operators“ (APTs) nicht fett markiert; damit ist das re-blog und re-tweet gesichert.

Im Fokus von APTs sind Mitglieder in den Vorständen von Großkonzernen und Betreiber kritischer Infrastrukturen, hochrangige Mitglieder von staatlichen Organisationen, kritische Journalisten, etc. Der normale iPhone oder iPad Anwender eher nicht, wenn überhaupt, dann als Kollateralschaden.

Was sind die Auswirkungen eines erfolgreichen Angriffs?

ZecOps schreibt im Abschnitt Fragen und Antworten dazu:

“Q: What does the vulnerability allow?

A: The vulnerability allows to run remote code in the context of MobileMail (iOS 12) or maild (iOS 13). Successful exploitation of this vulnerability would allow the attacker to leak, modify, and delete emails.”

Nach einem erfolgreichen Angriff kann der Angreifer also E-Mails lesen, löschen, kopieren und verändern; E-Mails schreiben im Namen des Nutzers ist nicht beschrieben. Damit sind die Vertraulichkeit und die Integrität der Information zumindest teilweise nicht mehr gegeben.

Ist der Angriffs einfach ausführbar?

Im Abschnitt Q&A macht ZecOps dazu eine sehr bemerkenswerte Aussage:

“Q: Does the vulnerability require additional information to succeed?

A: Yes, an attacker would need to leak an address from the memory in order to bypass ASLR. We did not focus on this vulnerability in our research.“

Damit der Schadcode vom Angreifer an die richtige Stelle im Adressraum eingeschleust werden kann, muss eine zusätzliche Schwachstelle vorhanden sein. ASLR (Adress Space Layout Randomization) ist eine in allen modernen Prozessoren eingebaute Technologie, die Angreifern das Einschleusen von Schadcode in den Speicher von Programmen erschweren soll. Wird der Schadcode an die falsche Stelle im Speicher eingefügt, führt dies zum Absturz des mit ASLR geschützen Programms. Mehr dazu von Paul Ducklin im Sophos Blog.(6)

In der Regel haben nur APTs die finanziellen Mittel solche Angriffe so zu vorzubereiten und auszuführen, dass die frühzeitige Entdeckung des Angreifers und der Schwachstelle verhindert wird.

Kann das Gerät vollständig übernommen werden?

Im Abschnitt Q&A macht ZecOps dazu folgenden Aussage:

„Q: Why are you disclosing these bugs before a full patch is available?

Answer: It’s important to understand the following:

These bugs alone cannot cause harm to iOS users – since the attackers would require an additional infoleak bug & a kernel bug afterwards for full control over the targeted device.”

Für die vollständige Übernahme des Gerätes ist also eine weitere Schwachstelle im Betriebssystemkern erforderlich. Das kann nur eine bislang nicht veröffentlichte Schwachstelle sein (Zero-Day), da die Bekannten gepatcht sind.

Eine Cyberwaffe, die auf einer nicht veröffentlichten Schwachstelle basiert kann ein einziges Mal eingesetzt werden. Danach ist die Schwachstelle bekannt und wird binnen kurzer Zeit gepatcht; die Waffe wird wirkungslos. Hier stellt sich die Frage, welcher APT eine wertvolle Cyberwaffe für das Ausspähen normaler iPad- oder iPhone-Nutzer opfert? Mehr dazu findet man in der Analyse(5) von Thomas Reed im Malwarebyte Labs Blog.

Fazit: Kein Grund zur Panik!

Aus meiner Sicht stehen die Warnung des BSI und die Aufmerksamkeit in den Medien in keinem Verhältnis zur Gefährlichkeit der Schwachstelle. Oder mit Shakespeare: Viel Lärm um Nichts.

Personengruppen im Fokus von staatlichen oder staatlich finanzierten Cyber-Akteuren sollten die E-Mail Synchronisation deaktivieren, bis die Schwachstelle gepatcht ist. Gegebenenfalls können die Mail-Gateway Betreiber für diese Benutzergruppen Anhänge entfernen oder übergroße E-Mails blockieren, falls das Deaktivieren der Synchronisation aus organisatorischen Gründen nicht möglich ist.

Für alle anderen Nutzer gilt: Patches installieren, sobald sie verfügbar sind. Wer glaubt, im Fokus staatlicher oder staatlich finanzierter Cyber-Akteure zu stehen, sollte die Mailsynchronisation deaktivieren, bis ein Patch verfügbar ist.

---

Referenzen

1. zdf heute. Behörde schlägt Alarm: Sicherheitslücken in Mail-App [Internet]. zdf heute. 2020 [zitiert 24. April 2020]. Verfügbar unter: https://www.zdf.de/uri/cdb2ab06-ab06-4416-8a38-2a417e176cc1

2. Römermann S. BSI warnt vor iOS – Schwachstellen bei Apple Mail-Programm [Internet]. Deutschlandfunk. 2020 [zitiert 25. April 2020]. Verfügbar unter: https://www.deutschlandfunk.de/bsi-warnt-vor-ios-schwachstellen-bei-apple-mail-programm.766.de.html?dram:article_id=475410

3. Bundesamt für Sicherheit in der Informationstechnik. BSI – Presseinformationen des BSI – BSI warnt vor Einsatz von iOS-App „Mail“ [Internet]. BSI Presse. 2020 [zitiert 25. April 2020]. Verfügbar unter: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html

4. zecOps. You’ve Got (0-click) Mail! [Internet]. ZecOps Blog. 2020 [zitiert 24. April 2020]. Verfügbar unter: https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

5. Reed T. iOS Mail bug allows remote zero-click attacks [Internet]. Malwarebytes Labs. 2020 [zitiert 24. April 2020]. Verfügbar unter: https://blog.malwarebytes.com/mac/2020/04/ios-mail-bug-allows-remote-zero-click-attacks/

6. Ducklin P. iPhone zero day – don’t panic! Here’s what you need to know – Naked Security [Internet]. naked security by Sophos. 2020 [zitiert 24. April 2020]. Verfügbar unter: https://nakedsecurity.sophos.com/2020/04/23/iphone-zero-day-dont-panic-heres-what-you-need-to-know/