Sicherheitslücke Mail App

**Jörn** · 24.04.2020, 20:50

Existenzbeweise von Dingen, die es nicht gibt, sind per se unmöglich. Beispielsweise kannst Du nicht beweisen, es flöge keine Kaffeekanne um den Saturn.

Ebenso kann niemand beweisen, dass Apple keine Backdoor in iOS eingebaut hat und heimlich überall mitliest und mithört. Es wäre aber unlauter, es einfach zu behaupten und dann zu sagen, es könne ja niemand das Gegenteil beweisen.

Der Trick solcher Scheinargumente liegt darin, die Beweislast umzukehren. Plötzlich muss Apple (oder ich) beweisen, dass es keinen Exploit gibt. Aber stets könnte jemand sagen: "Wer weiß, vielleicht gibt es einen Eskimo, der einen Exploit hat, diesen hält er aber geheim."

Die Beweislast liegt bei der "Sicherheitsfirma". Sie sagt, es gäbe einen Exploit. Der Beweis wäre simpel, ein Link würde genügen. Aber wir haben keinen Link bekommen. Das passt nicht zusammen.

Apple hingegen sagt, es gäbe keinen Exploit und begründet es damit, dass es nur zusammen mit einer zweiten Lücke funktionieren kann. Ein solches Szenario sei nicht bekannt. Diese Behauptung ist konsistent mit dem, was wir sehen, nämlich: kein Exploit.

**cordcam** · 24.04.2020, 21:50

Das ist Quatsch. Du musst überhaupt nichts beweisen. Es geht lediglich darum, dass man nicht behaupten kann, dass es keinen Exploit gibt. Und das ist vor allem ein Problem proprietärer Software. Wir wissen es halt nicht.

Somit sind beide Behauptungen falsch. Man kann weder nein noch ja sagen, man kann nur sagen:

Ich weiß es nicht, weil ich es nicht überprüfen kann.

**Jörn** · 24.04.2020, 22:03

In Ordnung, ich weiß es nicht. Deswegen behaupte ich es auch nicht.

Wer es jedoch behauptet, sollte es auch beweisen.

**nexus** · 24.04.2020, 22:54

Apple soll sich einfach beeilen. Scherzbolde können momentan nämlich noch zusätzlich nerven.

**Pablo Nop** · 25.04.2020, 12:59

Zitat von Jörn Beitrag anzeigen

Apple hingegen sagt, es gäbe keinen Exploit und begründet es damit, dass es nur zusammen mit einer zweiten Lücke funktionieren kann. Ein solches Szenario sei nicht bekannt.

Es ist vermutlich keiner öffentlich bekannt, weil er nicht massenhaft ausgenutzt wird, sondern nur gezielt gegen bestimmte Personen.

Erinnerst Du Dich an die Geschichte mit Khashoggi in der Botschaft oder Bezos mit den Erpressungsfotos? Da wurde auch jeweils war eine Lücke in Messages mit weiteren Lücken kombiniert, um das Telefon von außen zu hacken. Noch früher gab es Webseiten, die einen Jailbreak machten, indem mehrere Lücken in Safari und dem OS ausgenutzt wurden, um aus Sandbox bis ins OS auszubrechen.

Selbstverständlich existieren solche weiteren Lücken. Jeder Jailbreak ist ein Beweis dafür.

Das gefährliche an der Mail-Lücke ist nunmal, dass die der erste Schritt in solch einer Kette sein kann. Ohne Zutun der User und normalerweise ohne, dass sie bemerkt wird.

Zitat von Jörn Beitrag anzeigen

Diese Behauptung ist konsistent mit dem, was wir sehen, nämlich: kein Exploit.

Wenn Du die Millionensummen für die diese Exploits gehandelt werden, zahlst, bekommst Du sie auch zu sehen.

**mkummer** · 25.04.2020, 13:24

Wer glaubt dass es so etwas wie ein „sicheres Internet“ gibt, ist nmM schlicht naiv. Erst mal angestöpselt sind die Scheunentore mehr oder weniger weit offen. Und wer damit rechnet, ist meinessehrartens gut beraten (und nicht unbedingt der größte Depp).

**Jörn** · 25.04.2020, 13:36

Zitat von Pablo Nop Beitrag anzeigen

Wenn Du die Millionensummen für die diese Exploits gehandelt werden, zahlst, bekommst Du sie auch zu sehen.

Das macht es nochmals unglaubwürdiger, dass die "Sicherheitsfirma" davon weiß.

Wohlgemerkt, es geht nicht darum, ob es Lücken gibt. Natürlich gibt es Lücken. Natürlich gibt es auch Exploits. Irgendwelche, irgendwann.

Sondern es geht darum, dass jemand behauptet, es gäbe eine ganz bestimmte Lücke, von der er persönlich Kenntnis hat; und es gäbe einen ganz bestimmten Exploit, von dem er persönlich Kenntnis hat. Und es geht darum, warum keiner der Journalisten danach gefragt hat, dies dann auch zu zeigen und zu belegen.

Weiterhin geht es darum, angesichts dieser Merkwürdigkeiten den zusätzlichen Widerspruch zu erklären, der darin besteht, dass Apple die Existenz a) einer notwendigen zweiten Lücke und b) eines Exploits bestreitet.

Warum wird der Sicherheitsfirma ohne Rückfrage geglaubt, nicht jedoch Apple?

Warum werde ich kritisiert, wenn ich nach Belegen für die aufgestellten Behauptungen frage?

**cordcam** · 25.04.2020, 14:15

Nur, weil Du gesagt hast, dass die Lücke nicht existiert.

Richtig wäre gewesen: „Keine Ahnung, was stimmt.

Es gibt drei Möglichkeiten:

Die Sicherheitsfirma lügt.

Apple lügt.

Apple weiß es auch nicht, sagt aber, ihnen sei da nichts bekannt. Was ja keine Lüge ist, aber keineswegs die glasklare Aussage, dass es da nichts gibt.

**Jörn** · 25.04.2020, 14:28

Apple hat aber nicht gesagt, es sei ihnen nichts bekannt.

Sondern sie haben gesagt, dass sie nach intensiver Prüfung (auch der Infos von der "Sicherheitsfirma") keinen Weg gefunden haben, wie sich die Lücke tatsächlich nutzen ließe. Das hat mehr Gewicht als nur zu sagen: "Wir wissen nichts".

Das impliziert zudem, dass ihnen dieser Weg zur Nutzung der Lücke auch von der "Firma" nicht genannt wurde, auch nicht vertraulich.

Ich bin deswegen so hartnäckig, weil es in den Medien so dargestellt wurde, als sei es eine bewiesene Tatsache, dass die Leute die Kontrolle über ihr iPhone verlieren, wenn sie die Mail-App installiert haben. In den diversen "heute"-Sendungen wurde gesagt, man solle die App daher umgehend de-installieren oder sonstwie lahmlegen.

Das ist eine riesige PR-Schlappe für Apple. Nach meinen Verständnis muss jemand, der mit seinen Botschaften anderen Leuten schaden kann, dies sehr gut abwägen und belegen. Aber es findet sich nirgends ein Beleg. Gefragt habe ich in diesem Thread ja bereits oft genug danach.

**cordcam** · 25.04.2020, 14:49

Du hast selbst geschrieben: „ Apple hingegen sagt, es gäbe keinen Exploit und begründet es damit, dass es nur zusammen mit einer zweiten Lücke funktionieren kann. Ein solches Szenario sei nicht bekannt.“

**Jörn** · 25.04.2020, 15:27

Ich verstehe das Herumgetanze nicht. Ich fordere lediglich einen Beleg für die aufgestellten Behauptungen. Ist das ungehörig?

**mkummer** · 25.04.2020, 16:59

Ungehörig sicher nicht aber offensichtlich argumentativ nutzlos.

**cordcam** · 25.04.2020, 18:57

Bitte helft mir mal. Ist folgendes Szenario technisch denkbar?

Jemand erhält durch die Lücke Zugriff auf eure Mails. Er kann sich in Ruhe angucken, mit wem ihr so schreibt, was ihr so schreibt usw.

Dann erstellt er nach diesen Erfahrungen eine Mail, in der ihr ganz sicher einen Link anklicken werdet. Dorthinter verbirgt sich dann etwas schadhaftes.

**Jörn** · 25.04.2020, 19:16

Dieses Szenario vertauscht den zweiten mit dem ersten Schritt. Zwar haben die Medien auf diese Weise berichtet, aber es ist nach meiner Ansicht falsch.

Ein Angreifer kann nicht zuerst in den Mails lesen, um dann eine besonders attraktive Mail zu schreiben, die man anklicken wird. Denn dazu bräuchte er bereits einen Zugang. Diesen will er sich mit der "attraktiven Mail" aber erst erschleichen.

Wenn er bereits einen Zugang hätte, dann bräuchte er die "attraktive Mail" nicht mehr.

Zudem ist der Klick auf die Mail nur unter iOS 12 nötig. In iOS 13 soll es ohne Klick funktionieren, d.h. wenn die Mail im Hintergrund geladen wird. Nochmals: Die dadurch entstehende Lücke kann nur genutzt werden, wenn eine weitere Lücke zuvor Schadcode im System platzieren konnte. Dieser Exploit (die zweite Lücke) ist nicht bekannt, und Apple sagt, es ist nicht möglich.

**cordcam** · 25.04.2020, 20:50

Ich dachte, unter iOS 13 könnte er eine Mails schicken, die die Lücke öffnet, die Mail ist sofort wieder weg und dann kann er sich in meiner Mailapp rumtreiben und eben so eine vertrauenserweckende Mail platzieren...

Sicherheitslücke Mail App

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Einloggen oder neu registrieren