Home HerstellerAppleiOS Apple: Zugriff auf offizielle Abrechnungsmails des App-Store möglich

Apple: Zugriff auf offizielle Abrechnungsmails des App-Store möglich

von Bastian Ebert

Gestern gab es die Mutter aller Sicherheitslücken bei Android*, heute holt Apple* kräftig auf. Wie heise.de meldet gibt eine Lücke in Apples App-Store- und iTunes-Servern, die es möglich macht, in die offiziellen Abrechnungsmails fremden Code einzuschleusen.Grundlage für den Angriff ist ein ungesichertes Textfeld. Statt dem Gerätenamen kann auch ausführbarer Code hinterlegt werden ohne dass diesen das System entschärft. Solche Sicherungen gehören aber an sich zu den elementaren Vorkehrungen für sichere Software.

Heise schreibt dazu:

Apple* versendet die Mail mit der Rechnung neben dem Käufer auch an den Verkäufer. An dieser Stelle ist es Mejri zufolge vorstellbar, dass der Schadcode vom Verkäufer fälschlicherweise noch an weitere Nutzer verteilt wird. Aufgrund der offiziellen Absenderadresse @email.apple*.com könnten Opfer durchaus auf die präparierte E-Mail reinfallen.

Die Beleg-Email kommt im HTML-Format daher und der Schadcode befindet sich in einem Iframe. In der Regel blocken Mail-Programme aber Skripte. Dennoch könnte es Szenarien geben, in denen der Schadcode automatisch ausgeführt wird.

Diese Lücke ist Apple bereits seit Juni bekannt, eine Fix dafür gibt es aber bisher noch nicht.

Es gibt leider auch recht wenige Möglichkeiten, sich direkt zu schützen. Der beste Weg wäre wahrscheinlich offizielle Mails aus dem Appstore und von iTunes vorerst nicht zu öffnen. Wenn es doch notwendig wird sollte man die Mail herunter laden und nur in einer abgesicherten Umgebung und am besten ohne Internet Zugang öffnen. Wirkliche Sicherheit gibt es aber nicht, da niemand genau weiß welcher Code mit verschickt wird.

Immer auf den Laufenden bleiben: Tech News und Meldungen direkt auf das Handy oder in den Sozialen Netzwerken: Appdated Telegramm Channel | Appdated bei Facebook | Appdated bei Twitter

Diesen Artikel kommentieren