sicherheit-pixabay-cc0-777×422

Apple: Zugriff auf offizielle Abrechnungsmails des App-Store möglich


Gestern gab es die Mutter aller Sicherheitslücken bei Android*, heute holt Apple* kräftig auf. Wie heise.de meldet gibt eine Lücke in Apples App-Store- und iTunes-Servern, die es möglich macht, in die offiziellen Abrechnungsmails fremden Code einzuschleusen.Grundlage für den Angriff ist ein ungesichertes Textfeld. Statt dem Gerätenamen kann auch ausführbarer Code hinterlegt werden ohne dass diesen das System entschärft. Solche Sicherungen gehören aber an sich zu den elementaren Vorkehrungen für sichere Software.

Heise schreibt dazu:

Apple* versendet die Mail mit der Rechnung neben dem Käufer auch an den Verkäufer. An dieser Stelle ist es Mejri zufolge vorstellbar, dass der Schadcode vom Verkäufer fälschlicherweise noch an weitere Nutzer verteilt wird. Aufgrund der offiziellen Absenderadresse @email.apple*.com könnten Opfer durchaus auf die präparierte E-Mail reinfallen.

Die Beleg-Email kommt im HTML-Format daher und der Schadcode befindet sich in einem Iframe. In der Regel blocken Mail-Programme aber Skripte. Dennoch könnte es Szenarien geben, in denen der Schadcode automatisch ausgeführt wird.

Diese Lücke ist Apple bereits seit Juni bekannt, eine Fix dafür gibt es aber bisher noch nicht.

Es gibt leider auch recht wenige Möglichkeiten, sich direkt zu schützen. Der beste Weg wäre wahrscheinlich offizielle Mails aus dem Appstore und von iTunes vorerst nicht zu öffnen. Wenn es doch notwendig wird sollte man die Mail herunter laden und nur in einer abgesicherten Umgebung und am besten ohne Internet Zugang öffnen. Wirkliche Sicherheit gibt es aber nicht, da niemand genau weiß welcher Code mit verschickt wird.



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.