Apple: lek in mailclient iOS vormt geen direct gevaar en update komt snel

Het afgelopen week ontdekte lek in iOS dat toegang geeft tot de mailclient, vormt volgens Apple geen direct gevaar voor gebruikers. Het bedrijf heeft geen aanwijzingen dat het probleem in de praktijk misbruikt is.

Apple heeft een verklaring over de woensdag gepubliceerde kwetsbaarheid verstrekt aan Bloomberg. Daarin staat dat het onderzoek van het beveiligingsbedrijf geanalyseerd is en dat de conclusie is dat er geen direct risico is voor gebruikers. "De onderzoeker heeft drie problemen met Mail gevonden, maar opzichzelfstaand zijn deze niet voldoende om de beveiliging van iPhones en iPads te omzeilen", claimt Apple. Het bedrijf voegt daar aan toe dat het geen bewijzen heeft gevonden dat de lekken voor misbruik ingezet zijn tegen gebruikers. De woensdag al beloofde fix komt 'snel', meldt Apple verder.

Beveiligingsbedrijf ZecOps publiceerde woensdag over een lek in iOS waarmee toegang tot de mailclient van gebruikers te verkrijgen is via een speciaal vervaardigde e-mail. Het bedrijf zou Apple al in februari ingelicht hebben. ZecOps meldde toen wel dat het lek is misbruikt voor aanvallen op onder meer topmensen van bedrijven. Voor het slagen van gerichte aanvallen zou het niet nodig zijn dat doelwitten de mail openen en ze zouden ook niets merken van een aanval, alleen zou de mailclient wat trager functioneren. Wanneer de fix precies verschijnt maakt Apple nog niet bekend. Deze zit al in de bèta van iOS 13.4.5.

Door Olaf van Miltenburg

Nieuwscoördinator

24-04-2020 • 11:14

126

Reacties (126)

126
114
57
3
0
43
Wijzig sortering
In dit artikel wordt alles in detail uitgelegd: https://blog.zecops.com/v...s/youve-got-0-click-mail/. Check ook de FAQ:
These bugs alone cannot cause harm to iOS users – since the attackers would require an additional infoleak bug & a kernel bug afterwards for full control over the targeted device.

[Reactie gewijzigd door Ronwiel op 22 juli 2024 14:50]

Bor Coördinator Frontpage Admins / FP Powermod @Ronwiel24 april 2020 12:03
Daarbij echter wel:

Het stuk waar jij naar linked gaat over full control. Er zijn natuurlijk andere vormen van misbruik mogelijk dat alleen full control over een device wat een volledige compromise is.

Het gaat hier bovendien om kwetsbaarheden die al misbruikt worden sinds 2018, mogelijk eerder en zijn waarschijnlijk al aanwezig vanaf 2012.
With very limited data we were able to see that at least six organizations were impacted by this vulnerability – and the potential abuse of this vulnerability is enormous. We are confident that a patch must be provided for such issues with public triggers ASAP.
Impact & Key Details (TL;DR) :
The vulnerability allows remote code execution capabilities and enables an attacker to remotely infect a device by sending emails that consume significant amount of memory
The vulnerability does not necessarily require a large email – a regular email which is able to consume enough RAM would be sufficient. There are many ways to achieve such resource exhaustion including RTF, multi-part, and other methods
Both vulnerabilities were triggered in-the-wild
The vulnerability can be triggered before the entire email is downloaded, hence the email content won’t necessarily remain on the device
We are not dismissing the possibility that attackers may have deleted remaining emails following a successful attack
Vulnerability trigger on iOS 13: Unassisted (/zero-click) attacks on iOS 13 when Mail application is opened in the background
Vulnerability trigger on iOS 12: The attack requires a click on the email. The attack will be triggered before rendering the content. The user won’t notice anything anomalous in the email itself
Unassisted attacks on iOS 12 can be triggered (aka zero click) if the attacker controls the mail server
The vulnerabilities exist at least since iOS 6 – (issue date: September 2012) – when iPhone 5 was released
The earliest triggers we have observed in the wild were on iOS 11.2.2 in January 2018

[Reactie gewijzigd door Bor op 22 juli 2024 14:50]

Precies. Het artikel geeft heel duidelijk aan dat zij zien dat het al actief misbruikt word.
These bugs alone cannot cause harm to iOS users – since the attackers would require an additional infoleak bug & a kernel bug afterwards for full control over the targeted device.
Deze tekst moet je volgens mij dan ook zien als een analyse hoe ze deze kwetsbaarheid gebruikt zien worden in aanvallen en niet als een geruststelling dat het wel mee valt.

Die additionele bugs zijn al beschikbaar en worden in het wild misbruikt.
Apple geeft naar bedrijven geen enkele indicatie wanneer de fix beschikbaar komt. Onofficieel zeggen ze "binnenkort", maar daar heb je als bedrijf niks aan.
Wij hebben daarom besloten om onze gebruikers per direct over te laten stappen op de Outlook app en de native apple app uit te schakelen.
gewoon uit nieuwsgierigheid bij dergelijke bold statements...

Als er straks in de outlook client een lek gevonden wordt, wat wordt dan je "per direct" actie? Is veranderen van app een standaard reactie waneer een lek gevonden wordt? hoe gaan gebruikers om met deze aanpassing?

Is de info die jullie op Julie mobile telefoons verwerken dermate kritisch? over hoeveel gebruikers spreken we eigenlijk?
In theorie kunnen bedrijven haar werknemers beschermen tegen misbruik van dit lek, door dergelijke mails via een IPS te droppen voordat deze de mailserver bereikt. Met MDM kan de IT afdeling van een bedrijf instellen dat alleen het bedrijfsaccount qua mail gebruikt mag worden.

Echter, dit is in theorie. In de praktijk heb je die genoemde maatregelen wel nodig ;)

En ik denk dat je wel een punt hebt; je mag je wel eens afvragen of je goed bezig bent indien je kritische zaken op smartphones laat draaien, naast de functie om gewoon gebeld te worden en te kunnen bellen ;)

[Reactie gewijzigd door jurroen op 22 juli 2024 14:50]

Mail en bellen zijn op zichzelf potentieel een kritiek component. Call logs, voice mails en gevoelige emails te pakken krijgen kan al voldoende zijn.
Yup. Een telefoon gebruiken voor andere vormen van communicatie dan spraak is een slecht plan 8)7

Het maakt voor het gevolg van zo'n 'lek' niet uit of het bedrijfskritische mails zijn of een mail met betaalverzoek voor de lunch.
En ik denk dat je wel een punt hebt; je mag je wel eens afvragen of je goed bezig bent indien je kritische zaken op smartphones laat draaien, naast de functie om gewoon gebeld te worden en te kunnen bellen ;)
2FA is nogthans al geruime tijd gemeengoed op de smarphone in de zakenwereld....
Correct :) Dat zal de komende jaren (hopelijk) wel verplaatsen naar WebAuthn met een stick, zoals de Yubikey.
Is de info die jullie op Julie mobile telefoons verwerken dermate kritisch? over hoeveel gebruikers spreken we eigenlijk?
Zo'n 7000 in Nederland, tegen de 300.000 wereldwijd.
We hebben die beslissing voor Nederland genomen, maar de rest volgt ons snel.

En met zoveel mensen neem je zo'n beslissing niet makkelijk. Maar zoals gewoonlijk geeft Apple geen enkele nuttige informatie.
Gisteren heb ik aangegeven dat als Apple deze week nog de fix zou publiceren dat ik het risico aanvaardbaar acht om even te wachten. Maar Apple support is gericht op eindgebruikers en niet op multinationals (geven ze zelf ook toe) en die geven je geen informatie. Dan moet je een knoop doorhakken.

Gelukkig is het risico om op de Outlook app over te stappen niet zo groot. Een deel van onze organisatie in andere landen gebruikt de Outlook app al omdat je daar meer security controls mee hebt via intune (En mochten ze snel de fix uitbrengen dan kunnen we de native app ook weer beschikbaar stellen, als er issues zijn met de Outlook app)

[Reactie gewijzigd door mjtdevries op 22 juli 2024 14:50]

Bij mijn werkgever (wereldwijd en veel gebruikers) hebben we ook allemaal de Outlook App. Of we nu iPhone of Android gebruiken, alles via Intune, en dus ook Outlook. Een andere mail app wordt niet ondersteund. Werkt perfect, al hebben sommige gebruikers wel even moeten wennen ;-)
Misschien moet je eerst eens goed lezen?

Ik zeg niet dat Apple deze week een fix uit stuurt, Ik zeg dat ALS Apple deze week een fix uitstuurt dat het dan een acceptable risico is. Maar dan heb je dus een antwoord van Apple nodig wat er niet komt.

Maar van iemand die op een wijze reageert zoals jij nu doet, moet ik waarschijnlijk niet verwachten dat ie kan lezen.
Laat in mijn ogen ook het gevaar zien dat Apple eigen apps alleen laat patchen via iOS updates. Terwijl de concurrentie veel eenvoudiger kan patches kan uitrollen via de App Store.
Wat is daar precies een gevaar van? Apple heeft een zeer lange update-ondersteuning. De iPhone 5S uit 2013 krijgt nog steeds iOS beveiligingsupdates. Bij Android zou dit juist wel een probleem zijn daar de ondersteuningsduur vaak beperkt is tot 2 a 3 jaar na lancering van het toestel.
Omdat de app dus al gepatched is. Maar je nu op een iOS update moet wachten.

Dat duurt dus te lang.
Klopt, maar iOS updates uitrollen lijkt mij een grotere impact hebben (meer tijd nodig) dan via de App Store een update uitrollen.
Op Android worden apps via de playstore gepatcht. Dat geldt dus ook voor de gmail client, mocht je het willen vergelijken. Via de playstore is een stuk sneller dan via een OS update. Ik snap dat je Apple blijkbaar niet graag afvalt, maar je voert alleen maar argumenten aan om anderen in een kwaad daglicht te stellen, terwijl dit issue te maken heeft met een lek in de Apple mailclient. Niet in andere.
Dat zijn niet de security updates waar jij het over hebt maar de updates naar de nieuwere android versies, mijn android van bijna 4 jaar krijgt nog steeds de sec updates...
Dat niet alleen. Jouw apps worden via de store geupdate. Je hoeft niet te wachten op een Android update.

Dit is juist het grote voordeel van Android, apps krijgen (security) updatea via de store.
Bijv Samsung apps krijgen updates via de store, bij Apple (in de tijd toen ik daar een gebruiker van was) werden die apps pas in een ios update verwerkt.

Als je het zo vergelijkt krijgt Android vrijwel dagelijks updates jarenlang.

Bij ios gaan de ios apps mee in de ios update, raar maar goed. Dan krijg je problemen zoals in bovenstaand artikel.
De Outlook app, die alle mail opslaat op servers van Microsoft? In eerste instantie zelfs buiten de EU? (Ik weet niet of ze dat inmiddels al veranderd hebben).

Toen dat bekend werd hebben we die app geblacklist op de Exchange server bij het bedrijf waar ik toen werkte. No way.
In eerste instantie deed die app inderdaad hele dubieuze dingen. Ze waren toen nog geen eigendom van Microsoft en de data werd op niet-Microsoft servers opgeslagen zonder dat gebruikers dat wisten.

Er is heel wat veranderd sinds Microsoft de app overgenomen heeft.
En niet alleen in de app is veel veranderd, maar ook dat bedrijven tegenwoordig hun data in de cloud opslaan. Wij zijn ook van on-premise Exchange naar O365 gegaan.
Het was op dat moment al een app van Microsoft zelf. gepubliceerd onder het account van Microsoft.

Zo’n breuk aan vertrouwen is weinig acceptabel voor veel bedrijven.
enige onderbouwing is wel op z'n plaats met zo'n claim lijkt me?
Met behulp van die fout kan het wel. Maar niet alleen maar met die fout. Je moet het combineren met een andere bug. En ZecOps heeft aanwijzingen dat dat al op grote schaal gebeurd.
Maar er is dus wel toegang tot gegevens binnen de mail app en ik krijg nu een beetje het idee dat Apple dat niet als een risico voor gebruikers ziet, want dat is nog steeds mogelijk zonder extra vulerabilities.

Ik zou het toch wel als een bepaald risico classificeren als iemand mailboxen e.a. uit kan lezen, tenzij ZecOps overdrijft, maar daar lijkt het in dit geval niet op.
Heel strikt bekeken is mail userdata en is het alleen beperkt tot de mail app.
Net als IBM laatst aangaf toen er security flaws werden ontdekt, Not within the scope of our software.

Ik ben bang dat als je het vanuit Apple's standpunt bekijkt het totale risico op je telefoon niet zo hoog is omdat je "alleen maar" je mailbox kan uitlezen. Iets wat de rest van de integriteit van het systeem als geheel niet bedreigt.

Deze omgekeerde redering zie je wel vaker en is op zich niet in de basis fout. Ik denk alleen dat je niet aan je klanten de juiste impact aangeeft en dat de sales afdeling teveel inspraak heeft in dit soort statements.
Ik wil het daarmee absoluut niet goedpraten, maar wel laten zien waarom dit soort zaken in de breedste zin moet worden aangepakt. Apple is niet unique hierin maar heeft dit ook al vaker gedaan en er zou betere bewaking moeten zijn hiertegen omdat het een eenzijdig beeld kan geven.
Helaas hebben alle merken deze neiging en is het zeker niet gelimiteerd tot IT branch met Boeing en meerdere auto's als voorbeeld.

Als consument zou je mogen verwachten neutrale en eerlijke informatie te krijgen zodat je je risico goed kan inschatten en daarop acties te baseren.

edit typo

[Reactie gewijzigd door COW_Koetje op 22 juli 2024 14:50]

Kan ik hieruit aannemen dat apple gewoon je mail kan lezen? Hoe kunnen ze anders weten dat het lek niet misbruikt is?
Het bedrijf voegt daar aan toe dat het geen bewijzen heeft gevonden dat de lekken voor misbruik ingezet zijn tegen gebruikers.
Ze zeggen alleen dat ze geen bewijs hebben vonden.
Geen idee hoe ze het hebben "onderzocht", maar Apple kennende zullen ze zulke dingen niet openbaar maken.

Dus een nietszeggend statement.
Geen idee hoe ze het hebben "onderzocht", maar Apple kennende zullen ze zulke dingen niet openbaar maken.
Het is duidelijk hoe ze dit hebben "onderzocht". Ze hebben hun ogen gesloten en toen geconstateerd dat ze niks zien.

De security expert die het bij hun heeft aangedragen heeft notabene zelf allemaal bewijzen dat het in het wild actief misbruikt word.
En dan alsnog rustig beweren dat je geen aanwijzingen hebt dat het in de praktijk misbruikt word...
Zegt die man die rustig fake news verspreidde binnen zijn bedrijf over een fix :O
Degene die fake news verspreid ben jij.
Doordat je zo'n fanboy bent, was je niet in staat mijn reactie gewoon nauwkeurig te lezen. En nu zit je jezelf belachelijk te maken door allerlei dingen te beweren die nooit gezegd zijn.
Dude jij verspreidde het nieuws binnen je bedrijf dat Apple deze week een fix zou uitbrengen. :O
Wow, wat heb jij een gigantisch blok voor je kop!

Ik heb je in die andere reactie al laten zien dat jij gewoon verkeerd gelezen hebt, en toch blijf je deze keiharde leugen volhouden.

Ik heb gezegd dat ALS Apple deze week een fix uit brengt, dat het risico acceptabel is en we niet naar de outlook app over hoeven.

Geen enkele normaal mensen kan dat opvatten als dat ik beweer dat Apple deze week een fix uit brengt.

Waarom kun je niet gewoon je fout toegeven? Doordat je zo'n apple fanboy bent heb je mijn reactie niet goed gelezen. Dat kan gebeuren, maar dan maak je het toch niet erger voor jezelf door die onzin van je vol te houden?
Het is heel simpel: je vertrouwt Apple wel of niet. Aan jou de keus. Vraag je dan wel even af waarom je het alternatief wel vertrouwt.
Ik weet zeker dat ik de mail client van de concurrent nu beter kan vertrouwen. Snap de sneer ook niet echt eerlijk gezegd.

Je vertrouwt Apple nu gewoon even niet. Dat kan toch?
Natuurlijk kan dat. Maar waar het mij om gaat is dat een bedrijf als Apple, dat beveiliging van haar hardware en software hoog in het vaandel heeft staan, en daar ook continu de nodige (dure) medewerkers op zet, wel heel vreemd bezig zou zijn als daar twijfel over kan ontstaan.
Als je dan Apple met al haar resources zet tegenover die van de alternatieven van haar mail programma, dan vraag ik me af hoe je er van uit kunt gaan dat die geen beveiligingsproblemen hebben.
Hoe dan ook, in essentie blijft het naar mijn mening een kwestie van vertrouwen.
Drogredenering alert 2!
Het feit dat je (dure) medewerkers hebt betekent niet dat je code beter is, je beveiling beter is of de kwaliteit hoger is.
Omdat Apple meer resources heeft is het niet automatisch veiliger dan een alternatief mail programma
Niemand gaat ervanuit dat deze geen beveiligingsproblemen heeft, maar van Apple zijn ze aangetoont en van deze alternatieven niet.
Het is geen kwestie van vertrouwen maar van feiten. Apple heeft nu een probleem en van de andere is dat (nog) niet aangetoont.
Dat Apple beveiliging hoog in zijn vaandel heeft staan betekent dus ook niet dat er geen fouten in zitten die de beveiliging ondermijnen. Dit zal Apple zeker niet expres doen maar daarmee is er wel een probleem nu.

Het probleem hier is dat er constant 2 zaken aan elkaar worden geknoopt die totaal geen relatie hebben en dan als waarheid worden gedeponeerd.
En zoals bijvoorbeeld @mjtdevries al terecht aangeeft, is dat op dit moment gewoon ver te zoeken dat vertrouwen: mjtdevries in 'nieuws: Apple: lek in mailclient iOS vormt geen direct gevaar ...
Drogredenering alert!
Het alternatief heeft niets te maken met de keuze om Apple te vertrouwen of niet. Dit zijn 2 lostaande zaken die geen relatie hebben.
Daarbij is het niet simpel ... Je kan delen van Apple vertrouwen (bijvoorbeeld de opslag van fingerprints op een systeem) maar hun mailclient niet.
Even extreem gedacht: Je vertrouwt de mensen op de weg die een auto rijden allemaal wel of allemaal niet. Concluderend heel vreemd dat je +1 krijgt
Waarom zou je door zo'n klein issue (over Apple als geheel genomen) als dit gelijk je vertrouwen in Apple ter keuze stellen? Dit is beperkt tot de mailclient voor iOS, waarbij Apple zelf al heeft aangegeven dat in de tussentijd andere clients wel veilig te gebruiken zijn.

[Reactie gewijzigd door mjz2cool op 22 juli 2024 14:50]

Mail programma is toch vrij essentieel voor de meeste gebruikers, dus zo klein is deze issue niet. Maar als je een ander e-mail app gebruikt moet je wel vertrouwen op de uitspraak van Apple dat die op dit moment wel veilig te gebruiken zijn.
Waarom zou je niet op de uitspraak van Apple vertrouwen dat andere clients wel veilig te gebruiken zijn? Het gaat om een specifiek probleem in hun eigen app, dat is geen enkele reden om andere clients niet te vertrouwen.
Ik geloof ze meteen dat ze geen bewijs hebben gevonden.

Het probleem is natuurlijk wat voor onderzoek ze hebben uitgevoerd.
Gezien ze daar niks over zeggen heeft het statement "we hebben geen bewijs gevonden" waardeloos.


Geen idee over welk alternatief je het hebt, maar iOS Mail is in ieder geval niet te vertrouwen op dit moment.
Dit zegt zowel Apple als de onderzoekers.
Er zijn natuurlijk genoeg alternatieve e-mail apps. Gewoon te downloaden. En de e-mail app van iOS kun je gewoon tijdelijk verwijderen.
Kun je dan ook aannemen dat een onderzoeksbureau je mail kan lezen aangezien zij zeggen dat het wel breed misbruikt is.
Dus, er is wel een breach ofniet? ik lees namelijk tegenstrijdige berichten hierboven?
Wel.
De onderzoeker heeft het zeer gedegen bewezen.
Apple heeft het onder druk toegegeven.

Apple gaat uiteraard geen veiligheidspatches uitbrengen als alles ok is.
Er is een breach van een onderzoeker. Er zijn geen aanwijzingen dat de breach ook in het wild voorkomt.

De vector is tamelijk gelimiteerd, de meeste zulke pogingen willen full access tot een device, niet alleen maar tot de e-mail app, daardoor ontbreekt de noodzaak om hals over kop de parch uit te brengen, en komt ie met de volgende release mee.
Tja, ik heb m'n mail accounts toch maar tijdelijk uitgezet tot dit gefixed is, zou 't niet echt grappig vinden als mensen op die manier de rest van mijn mail zouden kunnen lezen.
Damage control level 10000/.

Apple is heer en meester in dat
Ik zou niet zeggen dat ze heer en meester zijn in damage control, maar wat dit soort updates betreft zijn ze wel 1 van de betere.
Hier zie je eigenlijk het grote nadeel van alle rommel die OS leveranciers af fabriek aanleveren. Waarom zou er een hele OS update moeten komen als alleen de mail app geraakt wordt. Het zou veel beter zijn als dit soort apps via de app store geupdate kunnen worden.
Ik weet niet of dat laatste statement juist is.
Een update via de store is alleen nuttig als gebruikers die update installeren.
Ik denk dat als je op straat, dus niet op een tech forum, 1000 willekeurige Apple klanten interviewt, dat een heel groot deel niets van dit probleem afweet.
Gebruikers hoeven er ook niets van te weten, als de apps maar automatisch geupdate worden, wat tegenwoordig standaard het geval is voor smartphones bij zowel Google als Apple vanuit hun app stores.
Een update via de store is alleen nuttig als gebruikers die update installeren
Op iOS is dat nu net geen probleem. Updates Van apps worden standaard automatisch geïnstalleerd als er verbinding is met WiFi, zonder dat de gebruiker er ook maar 1 keer zelf naar om hoeft te kijken.
Ik weet eigenlijk niet of standaard iOS apps wel of niet via de Appstore geupdated worden, maar bij Android is dit in ieder geval wel zo. Maar ik maak me daar ook niet zo druk om, de update komt er wel, het maakt voor mij niet zoveel uit of ik een kleine iOS update moet installeren of een update krijg via de Appstore.
De installatie is het probleem niet per se, wel het maken en testen. Een OS update is veel groter en veelomvattender dan een applicatie update. Hierdoor duurt het langer voordat er een patch is die het probleem oplost, en daar worden de gebruikers slechter van want lopen langer een risico.
Lijkt me toch niet zo'n goede manier om een security patch te verdelen. Ik let amper op de updates die via de App Store gebeuren op de achtergrond. Bij een OS update is dat anders. Je wordt daarvan op de hoogte gebracht. Je weet dus wanneer de patch er is.
Ik denk dat het toch wel een ernstig lek is. Uit voorzorg maar even de mail app verwijderd en een andere mail app geïnstalleerd. Werkt heel eenvoudig en kan het iedereen aanraden.

Zolang Apple dit niet kan onderbouwen kan ik niks met dit bericht.
Het afgelopen week ontdekte lek in iOS dat toegang geeft tot de mailclient, vormt volgens Apple geen direct gevaar voor gebruikers. Het bedrijf heeft geen aanwijzingen dat het probleem in de praktijk misbruikt is.

Dat zou ik ook zeggen, het komt wel over als een vrij ernstig lek gezien er amper onderbouwing is van hun berichtgeving.
"en ze zouden ook niets merken van een aanval, alleen zou de mailclient wat trager functioneren"
je merkt niet dat je gegevens gestolen worden,
dit merk je pas wanneer je bankrekening wordt leeggetrokken. toch niet echt lekker dit.
Daar denken ze in Duitsland heel anders over:
De Duitse overheid adviseert eigenaren van een iPhone of iPad om Apple Mail van het apparaat te verwijderen of synchronisatie uit te schakelen.
https://www.security.nl/p...ne+en+iPad+te+verwijderen
Ik heb toch maar alvast de Beta geinstalleerd. Ben er niet helemaal gerust op. Wel op dat die fix snel wordt uitgebracht, maar Apple weet domweg niet of het al wordt misbruikt.

Daarom vond ik dat voortijds publiceren ook zo ongepast. Er zijn nu best wel wat partijen die plots aan de slag gaan om deze bug te exploiteren, die er echt nog niet op de hoogte van waren.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 14:50]

Op dit item kan niet meer gereageerd worden.