Apple: Zugriff auf offizielle Abrechnungsmails des App-Store möglich

Gestern gab es die Mutter aller Sicherheitslücken bei Android, heute holt Apple kräftig auf. Wie heise.de meldet gibt eine Lücke in Apples App-Store- und iTunes-Servern, die es möglich macht, in die offiziellen Abrechnungsmails fremden Code einzuschleusen.Grundlage für den Angriff ist ein ungesichertes Textfeld. Statt dem Gerätenamen kann auch ausführbarer Code hinterlegt werden ohne dass diesen das System entschärft. Solche Sicherungen gehören aber an sich zu den elementaren Vorkehrungen für sichere Software.

Heise schreibt dazu:

Apple versendet die Mail mit der Rechnung neben dem Käufer auch an den Verkäufer. An dieser Stelle ist es Mejri zufolge vorstellbar, dass der Schadcode vom Verkäufer fälschlicherweise noch an weitere Nutzer verteilt wird. Aufgrund der offiziellen Absenderadresse @email.apple.com könnten Opfer durchaus auf die präparierte E-Mail reinfallen.

Die Beleg-Email kommt im HTML-Format daher und der Schadcode befindet sich in einem Iframe. In der Regel blocken Mail-Programme aber Skripte. Dennoch könnte es Szenarien geben, in denen der Schadcode automatisch ausgeführt wird.

Diese Lücke ist Apple bereits seit Juni bekannt, eine Fix dafür gibt es aber bisher noch nicht.

Es gibt leider auch recht wenige Möglichkeiten, sich direkt zu schützen. Der beste Weg wäre wahrscheinlich offizielle Mails aus dem Appstore und von iTunes vorerst nicht zu öffnen. Wenn es doch notwendig wird sollte man die Mail herunter laden und nur in einer abgesicherten Umgebung und am besten ohne Internet Zugang öffnen. Wirkliche Sicherheit gibt es aber nicht, da niemand genau weiß welcher Code mit verschickt wird.


Mobilfunk-Newsletter: Einmal pro Woche die neusten Informationen rund um Handy, Smartphones und Deals!


Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.

Immer die aktuellsten Nachrichten direkt im Smartphone.
Unsere Kanäle gibt es kostenlos hier:

Telegram: Appdated Telegram Channel
Facebook: Appdated Facebook Seite
Twitter: Appdated Twitter Channel

Schreibe einen Kommentar