Manchmal muss man sich schon die Frage stellen, wie manche Dinge eigentlich so entstehen. Keine Frage, Apple ist sicherlich ein Vorreiter in Sachen Datenschutz im Silicon Valley, daher ist die Entdeckung, die der IT-Spezialist Bob Gendler (via The Verge) nun gemacht hat umso unverständlicher. Gendler hat nämlich eine schwere Sicherheitslücke in der Mail-App unter macOS entdeckt, durch die eigentlich verschlüsselte Mails in Klartext auf dem Mac gespeichert werden. Dies geschieht offenbar im Zusammenhang mit der Vorschlagsfunktion für Kontakte über Siri, erfolgt aber auch dann, wenn Siri deaktiviert ist. Laut Gendler werden Mails hierzu in Klartext in einer Datenbank namens snippets.db auf dem Mac gespeichert. Dies trifft auf macOS Catalina zu und geht zurück bis macOS Sierra.

Um die Sache noch schlimmer zu machen, hat Gendler den Bug bereits seit Ende Juli versucht über mehrere Wege bei Apple zu melden - ohne Erfolg. Erst als sich der IT-Spezialist nun an The Verge wandte, nahm man die Sache in Cupertino offenbar endlich ernst. So hat man den Kollegen gegenüber inzwischen verlautbaren lassen, dass man das Problem in einem künftigen Softwareupdate beheben wird.

Das Problem selbst betrifft zwar nur eine gewisse Anzahl von Nutzern (wie Apple auch noch einmal betont) und ist nur dann ein echtes Problem, wenn man beispielsweise die macOS-Funktion FileVault deaktiviert hat, dennoch wirft Apples Umgang mit derlei Meldungen mal wieder ein äußerst schlechtes Licht auf das Unternehmen. Bereits mehrfach haben sich Entwickler und Sicherheitsspezialisten in der Vergangenheit über den unklaren Weg beschwert, wie und auf welchem Wege man denn nun Bugs an Apple melden soll und wie es danach weitergeht. Der aktuelle Fall liefert nun in weiteres Negativ-Beispiel in dieser Richtung.

Ein Team von Sicherheitsforschern der FH Münster hat am heutigen Tage eine Sicherheitslücke in der PGP/GPG- bzw. S/MIME-Verschlüsselung von E-Mails publik gemacht, durch die eigentlich als verschlüsselt versendete E-Mails in Klartext ausgegeben werden können. Betroffen sind hiervon sowohl aktuelle E-Mails, als auch solche, die bereits in der Vergangenheit verschickt wurden. Zwar gibt es aktuell keine verlässlichen Maßnahmen gegen die inzwischen unter der Bezeichnung "Efail" bekannten Lücke, allerdings ist ihre Relevanz in der Praxis auch nicht abschließend geklärt.

Während die Electronic Frontier Foundation (EFF) eine offizielle Warnung zu der Schwachstelle veröffentlicht hat, sehen unter anderem der Sicherheitsexperte Alec Muffet oder auch der GPG-Entwickler Werner Koch die Auswirkungen nicht so dramatisch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen ebenfalls eine Stellungnahme veröffentlicht, in der man die Meinung äußert, dass die genannten E-Mail-Verschlüsselungsstandards auch weiterhin sicher eingesetzt werden können, "wenn sie korrekt implementiert und sicher konfiguriert werden".

Damit durch die Lücke Schaden angerichtet werden kann, muss ein Angreifer zum einen Zugriff auf den Übertragungsweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zum anderen muss beim Empfänger beispielsweise die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte, wie beispielsweise von Grafiken aktiviert sein. Laut BSI haben die Hersteller der gängigen Mailclients bereits Updates ihrer Produkte angekündigt oder sogar schon bereitgestellt.

Wer sich bis zur Bereitstellung der entsprechenden Updates kurzfristig gegen die Lücke schützen möchte, kann seinen Mailclient auch so konfigurieren, dass er gegen einen möglichen Angriff immun ist. Unter anderem sollten hierzu sämtliche GPGTools/GPGMail Encryption-Plugins vorerst deinstalliert werden. Hierfür steht inzwischen eine Schritt-für-Schritt-Anleitung bereit. Für Mail auf dem Mac geht man dabei folgendermaßen vor:

• Apple Mail beenden (CMD-Q)
• In der Menüleiste des Finders auf "Gehe zu" klicken
• Unterpunkt "Gehe zum Ordner..." auswählen
• In die Adresszeile eingeben: ~/Library/Mail/Bundles
• Datei GPGMail.mailbundle in den Papierkorb verschieben
• mit dem Administrator-Passwort bestätigen

Es darf davon ausgegangen werden, dass Apple in Kürze ein entsprechendes Update für Mail am Mac bereitstellen wird. Weitere Anleitungen existieren zudem auch für Mozilla Thunderbird mit Enigmail und Microsoft Outlook mit GPG4win.

Seit der Veröffentlichung von OS X Mavericks kämpft Apples Mail-App auf dem Mac mit diversen Kinderkrankheiten. Die Fehlermeldungen reichen dabei von nicht eingehenden E-Mails bis hin zu Problemen beim Löschen oder Verschieben von Nachrichten. Im November vergangenen Jahres veröffentlichte man daher ein separates Update für die Mail-App, gefolgt von weiteren Verbesserungen, die mit OS X 10.9.1 kommen sollten. Verschiedene Probleme bestehen aber bis heute, so dass es nicht weiter verwundert, dass Apple die Entwickler in der aktuellen Beta von OS X 10.9.2 weiterhin darum bittet, die Mail-App auf Herz und Nieren zu testen. Ein weit verbreitetes Problem ist, dass E-Mails nur direkt nach dem Start der App und anschließend nicht mehr abgerufen werden. Inzwischen hat Apple hierfür einen einigermaßen abenteuerlichen Workaround veröffentlicht, der das von verschiedenen Nutzern praktizierte Schließen und anschließende Öffnen der App überflüssig macht. Stattdessen beschreibt Apple den folgenden Weg:

1. Postfach > Alle Accounts offline schalten.
2. Postfach > Neue E-Mails empfangen.

Um dis zu beschleunigen, kann man die beiden Befehle auch in die Symbolleiste verschieben:

1. Darstellung > Symbolleiste anpassen.
2. Die Buttons für die beiden oben genannten Befehle in die Symbolleiste verschieben.
3. Fertig.
   

Zum Empfangen von Mails müssen nun die beiden Buttons in der oben beschriebenen Reihenfolge geklickt werden. Klingt komisch, ist aber so.