Mail op iPhone, iPad en Mac

Apple reageert op lek in Mail-app: geen direct gevaar voor gebruikers

Gericht op bekende en hooggeplaatste personen

Er zitten meerdere beveiligingslekken in de Mail-app, zo ontdekte beveiligingsbedrijf ZecOps eerder. Apple heeft nu gereageerd. De problemen zijn in de beta van iOS 13.4.5 opgelost.

Update 24 april 2020: Apple heeft gereageerd op de ontdekking van het lek in de Mail-app op iPhone en iPad. Tegenover Bloomberg zegt Apple dat na onderzoek gebleken is dat het lek geen direct beveiligingsgevaar voor gebruikers veroorzaakt. De problemen op zich zijn onvoldoende om de beveiligingsmaatregelen van de iPhone en iPad te omzeilen, zo laat Apple weten. Bovendien zijn er geen aanwijzingen gevonden dat het lek misbruikt is.

Desalniettemin bevestigt Apple nogmaals dat de problemen binnenkort opgelost worden met een software-update. Zoals we eerder schreven zal dat gebeuren met iOS 13.4.5, die nu als beta beschikbaar is en binnenkort voor iedereen te downloaden is.

Oorspronkelijk artikel 22 april

Beveiligingslekken in Mail-app

Het blijkt dat er twee zero-day kwetsbaarheden zaten in de standaard Mail-app op je iPhone en iPad. Eén van de kwetsbaarheden maakte het voor een aanvaller mogelijk om op afstand je toestel te infecteren door e-mails te sturen die heel veel geheugen in beslag namen. Een andere kwetsbaarheid maakte het mogelijk om op afstand code uit te voeren. Een aanvaller kon in beide gevallen de e-mailberichten van een gebruiker bekijken, wijzigen en wissen. Er is echter geen reden tot paniek, vindt Motherboard.

In de zomer van 2016 bracht een groepje onderzoekers naar buiten dat er een zeldzame kwetsbaarheid was ontdekt. Sindsdien is het nog maar zelden voorgekomen, maar het beveiligingsbedrijfje ZecOps heeft er nu weer eentje ontdekt. Apple gaat het fixen in een komende release van iOS 13. Volgens oprichter Zuk Avraham van ZecOps is het vrijwel zeker dat er misbruik van is gemaakt. De booswichten hebben het daarbij vooral gemunt op bekende personen, topmanagers binnen diverse bedrijfstakken, medewerkers binnen Fortune 2000 bedrijven, maar ook kleinere bedrijven.

Een Toyota, geen Ferrari
De ene kwetsbaarheid is een zogenaamde remote zero-click. Dit is gevaarlijk omdat het op afstand uit te voeren is en dat de infectie plaatsvindt zonder dat er interactie van de gebruiker nodig is. Omdat iPhone zero-days zo zeldzaam zijn leveren ze op de zwarte markt veel geld op. Ze zijn ook erg gewild omdat rijke en bekende mensen vaak beschikken over een iPhone, meestal met dezelfde versie van iOS. Apple lost ze doorgaans snel op. Vandaar dat de mensen die erop jagen vaak werken voor grote hack-bedrijven en geheime diensten. Ze zorgen dat ze geen sporen achterlaten en zijn niet geneigd om hun ontdekkingen met anderen te delen. Zo bleken de e-mails die voor de eerstgenoemde hack zijn gebruikt, niet meer op de toestellen van de slachtoffers te staan, om ontdekking te voorkomen.

Bijlagen versturen in Mail

Apple zegt dat de zero-days die nu door ZecOps zijn ontdekt in de nieuwste iOS 13.4.5-beta zijn opgelost en ook in de definitieve versie van iOS 13.4.5 zullen zitten. ZecOps wil niet verklappen wie de slachtoffers waren en of ze data zijn kwijtgeraakt, maar wilde wel zeggen at het om een VIP uit Duitsland, een topmedewerker van een Zwitsers bedrijf, een topmedewerker bij een Japanse telecomprovider en diverse bedrijven in Saoedi-Arabië en Israel ging. Ook mensen die voor een Fortune 500-bedrijf in Noord-Amerika werken zouden er last van hebben gehad.

Waarom je weinig risico loopt
Een beveiligingsexpert die met Motherboard sprak, zei dat de bug niet erg geavanceerd is en daarom waarschijnlijk niet door de geheime diensten wordt gebruikt. “Dit is de Toyota Camry van de bugs. Het brengt je op de bestemming, zonder problemen. Maar het is geen Ferrari.” Omdat de bugs gebruikt worden om e-mail van bekende en hooggeplaatste personen te onderscheppen hoef je je dan ook niet te veel zorgen te maken als je niet tot deze twee groepen behoort.

Wil je liever toch een andere e-mailapp gebruiken, dan kun je onze lijst met Beste e-mailaapps voor iPhone en iPad bekijken.

Revisiegeschiedenis:

  • 2020 - 24 april: Reactie Apple toegevoegd.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 24 april 2020, 9:08
Bron Bron Motherboard
Categorie Achtergrond
Onderwerpen beveiliging, bug

Plaats een reactie

Als je een eigen afbeelding bij je reactie wil, moet je je aanmelden bij Gravatar. Daar kun je jouw e-mailadres koppelen aan een afbeelding.

Suggestie hoe we dit artikel kunnen verbeteren?
Laat het ons weten!

    Off-topic reacties worden verwijderd. Linken naar illegale bronnen is niet toegestaan. Respecteer onze algemene gedragsregels. Gebruik voor eventuele spelfouten of andere opmerkingen met betrekking tot het artikel s.v.p. onze artikelrapportage. Voor opmerkingen over ons moderatiebeleid kun je ons contactformulier gebruiken. Reacties met betrekking hierover worden als off-topic beschouwd.
    Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactiegegevens worden verwerkt.