Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Nicht nur in den Mail-Apps unter iOS, iPadOS und macOS wird Apple mit den auf der WWDC präsentierten und im Herbst erscheinenden Updates diverse willkommene Änderungen einführen, auch die iCloud-Version von Mail wird einer größeren Überarbeitung unterzogen. Die neue Version lässt sich bereits unter beta.icloud.com mit der eigenen Apple ID testen. Dabei präsentiert sie sich in einem neuen Look, der sie näher an die Apps auf dem iPad und dem Mac heranführt. Durch die neuen Bedienelemente und die angepasste Gestaltung wirkt die Seite nun deutlich moderner, während die (noch) aktuelle Version nach wie vor verschiedene Elemente aus iOS 7 enthält, inkl. extrem dünnen Schriften und Icons.

Die Mail-App HEY (kostenlos im AppStore) hat im vergangenen Jahr eine Menge Aufmerksamkeit bekommen, da Apple die App zwischenzeitlich wegen angeblicher Verstöße gegen die Regeln aus dem AppStore entfernte und anschließend eine öffentliche Auseinandersetzung mit den Entwicklern begann. Im Endeffekt einigte man sich und HEY steht inzwischen wieder zum Download bereit. Darin enthalten ist eine durchaus interessante Sicherheitsfunktion, auf die die meisten anderen Mail-Apps verzichten. Dazu gehört beispielsweise auch Apples Mail-App. Und das obwohl man sich in Cupertino ja stets mit seinen hohen DAtenschutzansprüchen rühmt. So enthält HEY eine Funktion, durch die sogenannte "Spy Pixel" in E-Mails nicht nur blockiert werden, sondern auch die betroffene Mail mit einem Badge versehen wird, das dies deutlich anzeigt.

"Spy Pixel" sind laut HEY inzwischen in zwei Drittel aller E-Mails enthalten. Prinzipiell handelt es sich dabei um unsichtbare, 1x1 Pixel große GIFs, die für den Empfänger unsichtbar in die Mails eingefügt sind. Wird die Mail geöffnet, werden diese Pixel von einem entfernten Server geladen. Durch die dabei zustandekommende Verbindung wird dem Betreiber dieses Servers nicht nur angezeigt, dass die Mail empfangen und geöffnet wurde, er erlangt auch Zugriff auf die IP-Adresse des Empfängers und somit auch auf dessen Standort. Der Blogger-Kollege John Gruber hat dieses Thema erst kürzlich wieder aufgegriffen und in einem Follow-Up Post auch Apple dafür kritisiert, dass die in iOS und macOS vorinstallierte Mail-App nichts gegen diese Praxis unternimmt.

Zwar ist es so, dass Apples Mail-App, wie auch die meisten anderen Mail-Clients, eine Möglichkeit bietet, das Laden von externen Inhalten zu unterbinden. Dies führt allerdings oftmals dazu, dass die heutigen, auf HTML-Code basierenden Mails kaum noch lesbar sind. Entscheidet sich der Nutzer dann per Mausklick doch dafür, die externen Inhalte zu laden, werden dabei dann auch die "Spy Pixel" mit heruntergeladen. Es gibt hier also nur die beiden Möglichkeiten ganz oder gar nicht. Man schüttet also quasi die Wanne mitsamt des Babys aus, wenn man auf den Herunterladen-Button klickt. Problematisch dabei ist zudem, dass zwar technisch versierte und interessante Nutzer wissen, dass man den Download von externen Inhalten unterbinden kann, die allermeisten Nutzer hierüber jedoch nicht Bescheid wissen und somit mit vielen erhaltenen Mails die "Spy Pixel" herunterladen und die Absender unbemerkt mit persönlichen Informationen versorgen.

In der HEY-App verfolgt man hingegen einen anderen als den Alles-oder-Nichts-Ansatz der meisten Mail-Apps und erklärt diesen auch auf einer eigenen Webseite. Demzufolge werden Mails automatisch auf Grafiken überprüft, die die typischen "Spy Pixel"-Muster aufweisen. Werden diese entdeckt, werden die entsprechenden Grafiken direkt entfernt. Zudem wird auch nach den angesprochenen 1x1 Pixel GIFs gesucht und auch diese entfernt. Auf diese Weise kann man nach Aussage der Entwickler bereits 98% der "Spy Pixel" und sonstige Tracking-Grafiken aufspüren und entfernen. In einem letzten Schritt wird die Mail dann auch noch über einen Anonymisierungs-Proxyserver geleitet, wodurch dem Absender keine Informationen des Empfängers mehr zugänglich gemacht werden, sollten es doch noch Spionage- und Tracking-Grafiken durch HEYs vorgeschaltete Filter geschafft haben. Die letztgenannte Barriere kann man sich also quasi wie eine Art VPN für E-Mails vorstellen.

Heutige Mail-Clients sind im Prinzip nichts anderes als Webbrowser, die auf die Anzeige von E-Mails spezialisiert sind. Die meisten dieser Mails werden wie gesagt heutzutage im HTML-Format versendet, also demselben Quellcode, auf dem auch Webseiten basieren. Dies ermöglicht die verschiedensten Formatierungen und eben auch die Einbindung von Grafiken und sonstigen Multimedia-Inhalten. Allerdings weisen die meisten Mail-Clients nicht annähernd die Sicherheitsfunktionen gegen schädlichen Code und Tracking-Technologien auf, wie die modernen Webbrowser.

Ich stimme Gruber voll und ganz zu, dass es sich hierbei um einen wirklich sinnvollen Ansatz handelt. E-Mails machen nach wie vor einen Großteil der heutigen Kommunikation aus und dennoch sind die dabei verwendeten Protokolle sicherheitstechnisch eigentlich eine Farce. Ein sicherheits- und datenschutzbewusstes Unternehmen wie Apple sollte seine Apple dringend mit einer ähnlichen Technologie ausstatten, wie HEY sie verwendet, zumal man wo wenn nicht in Cupertino sicherlich die Ressourcen hierfür haben dürfte. Speziell vor dem Hintergrund der ohnehin aktuell verschärften Maßnahmen gegen das sogenannte Cross-Site-Tracking wäre dies der nächste logische Schritt.

Kürzlich wurde bekannt, dass die Mail-App auf dem iPhone und dem iPad bereits seit iOS 6 von eine schweren Sicherheitslücke betroffen ist, durch die ein Angreifer potenziell die Mails des Opfers abfangen, verändern oder auch löschen kann. Entsprechend groß war die Aufregung unter einigen Nutzern und der Ruf nach einer baldigen Veröffentlichung eines Updates, welches die Lücke stopft. In der zweiten Beta von iOS 13.4.5 ist dies bereits der Fall. Nun hat Apple offiziell auf das Thema in einem Statement reagiert, welches unter anderem den Kollegen von MacRumors vorliegt. Nach Aussage des Unternehmens geht von der Lücke keine unmittelbare Gefahr für die Nutzer aus. So gibt Apple an:

"Apple takes all reports of security threats seriously. We have thoroughly investigated the researcher's report and, based on the information provided, have concluded these issues do not pose an immediate risk to our users. The researcher identified three issues in Mail, but alone they are insufficient to bypass iPhone and iPad security protections, and we have found no evidence they were used against customers. These potential issues will be addressed in a software update soon. We value our collaboration with security researchers to help keep our users safe and will be crediting the researcher for their assistance."

Zusammengefasst schreibt Apple, dass es sich nicht nur um eine, sondern um drei Lücken handelt, die jedoch jede für sich harmlos seien. Eine Gefahr entsteht nur dann, wenn alle drei Probleme gleichzeitig ausgenutzt werden, was nach Apples Informationen bei noch keinem Nutzer der Fall gewesen sei. Dennoch werde man die bekannten Lücken selbstverständlich in einem demnächst erscheinenden iOS-Update beheben. Ob es sich dabei um das angesprochene iOS 13.4.5 handeln und wann die Aktualisierung erscheinen wird, ist allerdings aktuell unklar.

Während die derzeit aktuellste in Umlauf befindliche offizielle iOS/iPadOS Version die 13.4.1 ist, befindet sich Version 13.4.5 bereits im Betatest. Bislang wurde dieser Vorabversion keine größere Bedeutung beigemessen, ging man doch davon aus, dass es sich um ein reines Bugfix-Update handeln würde. Dies ist auch absolut der Fall, allerdings befindet sich ein Bugfix in dieser Version, die eine durchaus größere Bedeutung haben dürfte. So haben die Sicherheitsforscher von ZecOps eine schwere Sicherheitslücke in Apples Mail-App unter iOS entdeckt, die offenbar auch schon von Angreifern ausgenutzt wurden, wie Motherboard und das Wall Street Journal berichten.

Bei der Lücke kann ein Angreifer laut ZecOps dem Opfer eine Mail schicken, die eine große Menge an Speicher beansprucht. Ist dieser Angriff erfolgreich, kann der Angreifer die Mails des Opfers abfangen, verändern oder auch löschen. Angeblich wurden auf diese Weise bereits mindestens die folgenden Nutzer angegriffen:

• Mitarbeiter eines Fortune 500 Unternehmens aus Nordamerika
• Ein Manager eines japanischen Speditionsunternehmens
• Ein deutscher VIP
• Managed Security Service Provider (MSSPs) aus Saudi Arabien und Israel
• Ein europäischer Journalist

Von den Problemen betroffen sind offenbar sämtliche iOS-Versionen von iOS 6 bis iOS 13.4.1. In der aktuellsten Beta von iOS 13.4.5 soll Apple die Lücken laut ZecOps geschlossen haben. Eine Veröffentlichung für alle Nutzer dürfte in den kommenden Wochen bevorstehen. Möchte man komplett auf Nummer sicher gehen, empfiehl ZecOps bis zur Veröffentlichung die Nutzung einer alternativen E-Mail App wie Gmail oder Outlook, die offenbar nicht von dem Problem betroffen sind.

Sollte sich ein aktueller Bericht des Bloomberg Kollegen Mark Gurman bestätigen, könnte iOS 14 in diesem Jahr eine echte Zäsur darstellen. Demzufolge soll Apple nämlich darüber nachdenken, es iPhone- und iPad-Nutzern ab iOS 14 freizustellen, welche Anwendungen sie künftig als Standard-Apps für Mail und Webbrowser verwenden wollen. Damit würde der seit der ersten iOS-Version bestehende Zwang zu den vorinstallierten Apps Safari und Mail wegfallen. Der Bericht kommt zu einem durchaus spannenden Zeitpunkt, wurden in den vergangenen Monaten doch immer mehr Stimmen laut, die Apple dafür kritisieren, dass man den eigenen Apps einen wettbewerbswidrigen Vorteil gegenüber Drittanbieter-Apps einräumen würde. Die Öffnung des Systems bei zwei der wohl am häufigsten genutzten Apps auf dem iPhone und iPad wäre nicht nur ein Schritt auf die Kritiker zu, sondern würde einen großen Einschnitt in Apples bisherige Politik darstellen. Für den Wettbewerb kann dies nur gut sein. Im Endeffekt ist aber vermutlich davon auszugehen, dass die meisten Nutzer weiterhin bei Safari und Mail bleiben, da beide Apps einfach wirklich gut durchdacht sind und einwandfrei funktionieren.

Manchmal muss man sich schon die Frage stellen, wie manche Dinge eigentlich so entstehen. Keine Frage, Apple ist sicherlich ein Vorreiter in Sachen Datenschutz im Silicon Valley, daher ist die Entdeckung, die der IT-Spezialist Bob Gendler (via The Verge) nun gemacht hat umso unverständlicher. Gendler hat nämlich eine schwere Sicherheitslücke in der Mail-App unter macOS entdeckt, durch die eigentlich verschlüsselte Mails in Klartext auf dem Mac gespeichert werden. Dies geschieht offenbar im Zusammenhang mit der Vorschlagsfunktion für Kontakte über Siri, erfolgt aber auch dann, wenn Siri deaktiviert ist. Laut Gendler werden Mails hierzu in Klartext in einer Datenbank namens snippets.db auf dem Mac gespeichert. Dies trifft auf macOS Catalina zu und geht zurück bis macOS Sierra.

Um die Sache noch schlimmer zu machen, hat Gendler den Bug bereits seit Ende Juli versucht über mehrere Wege bei Apple zu melden - ohne Erfolg. Erst als sich der IT-Spezialist nun an The Verge wandte, nahm man die Sache in Cupertino offenbar endlich ernst. So hat man den Kollegen gegenüber inzwischen verlautbaren lassen, dass man das Problem in einem künftigen Softwareupdate beheben wird.

Das Problem selbst betrifft zwar nur eine gewisse Anzahl von Nutzern (wie Apple auch noch einmal betont) und ist nur dann ein echtes Problem, wenn man beispielsweise die macOS-Funktion FileVault deaktiviert hat, dennoch wirft Apples Umgang mit derlei Meldungen mal wieder ein äußerst schlechtes Licht auf das Unternehmen. Bereits mehrfach haben sich Entwickler und Sicherheitsspezialisten in der Vergangenheit über den unklaren Weg beschwert, wie und auf welchem Wege man denn nun Bugs an Apple melden soll und wie es danach weitergeht. Der aktuelle Fall liefert nun in weiteres Negativ-Beispiel in dieser Richtung.

Ein Team von Sicherheitsforschern der FH Münster hat am heutigen Tage eine Sicherheitslücke in der PGP/GPG- bzw. S/MIME-Verschlüsselung von E-Mails publik gemacht, durch die eigentlich als verschlüsselt versendete E-Mails in Klartext ausgegeben werden können. Betroffen sind hiervon sowohl aktuelle E-Mails, als auch solche, die bereits in der Vergangenheit verschickt wurden. Zwar gibt es aktuell keine verlässlichen Maßnahmen gegen die inzwischen unter der Bezeichnung "Efail" bekannten Lücke, allerdings ist ihre Relevanz in der Praxis auch nicht abschließend geklärt.

Während die Electronic Frontier Foundation (EFF) eine offizielle Warnung zu der Schwachstelle veröffentlicht hat, sehen unter anderem der Sicherheitsexperte Alec Muffet oder auch der GPG-Entwickler Werner Koch die Auswirkungen nicht so dramatisch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen ebenfalls eine Stellungnahme veröffentlicht, in der man die Meinung äußert, dass die genannten E-Mail-Verschlüsselungsstandards auch weiterhin sicher eingesetzt werden können, "wenn sie korrekt implementiert und sicher konfiguriert werden".

Damit durch die Lücke Schaden angerichtet werden kann, muss ein Angreifer zum einen Zugriff auf den Übertragungsweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zum anderen muss beim Empfänger beispielsweise die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte, wie beispielsweise von Grafiken aktiviert sein. Laut BSI haben die Hersteller der gängigen Mailclients bereits Updates ihrer Produkte angekündigt oder sogar schon bereitgestellt.

Wer sich bis zur Bereitstellung der entsprechenden Updates kurzfristig gegen die Lücke schützen möchte, kann seinen Mailclient auch so konfigurieren, dass er gegen einen möglichen Angriff immun ist. Unter anderem sollten hierzu sämtliche GPGTools/GPGMail Encryption-Plugins vorerst deinstalliert werden. Hierfür steht inzwischen eine Schritt-für-Schritt-Anleitung bereit. Für Mail auf dem Mac geht man dabei folgendermaßen vor:

• Apple Mail beenden (CMD-Q)
• In der Menüleiste des Finders auf "Gehe zu" klicken
• Unterpunkt "Gehe zum Ordner..." auswählen
• In die Adresszeile eingeben: ~/Library/Mail/Bundles
• Datei GPGMail.mailbundle in den Papierkorb verschieben
• mit dem Administrator-Passwort bestätigen

Es darf davon ausgegangen werden, dass Apple in Kürze ein entsprechendes Update für Mail am Mac bereitstellen wird. Weitere Anleitungen existieren zudem auch für Mozilla Thunderbird mit Enigmail und Microsoft Outlook mit GPG4win.

Seit der Veröffentlichung von OS X Mavericks kämpft Apples Mail-App auf dem Mac mit diversen Kinderkrankheiten. Die Fehlermeldungen reichen dabei von nicht eingehenden E-Mails bis hin zu Problemen beim Löschen oder Verschieben von Nachrichten. Im November vergangenen Jahres veröffentlichte man daher ein separates Update für die Mail-App, gefolgt von weiteren Verbesserungen, die mit OS X 10.9.1 kommen sollten. Verschiedene Probleme bestehen aber bis heute, so dass es nicht weiter verwundert, dass Apple die Entwickler in der aktuellen Beta von OS X 10.9.2 weiterhin darum bittet, die Mail-App auf Herz und Nieren zu testen. Ein weit verbreitetes Problem ist, dass E-Mails nur direkt nach dem Start der App und anschließend nicht mehr abgerufen werden. Inzwischen hat Apple hierfür einen einigermaßen abenteuerlichen Workaround veröffentlicht, der das von verschiedenen Nutzern praktizierte Schließen und anschließende Öffnen der App überflüssig macht. Stattdessen beschreibt Apple den folgenden Weg:

1. Postfach > Alle Accounts offline schalten.
2. Postfach > Neue E-Mails empfangen.

Um dis zu beschleunigen, kann man die beiden Befehle auch in die Symbolleiste verschieben:

1. Darstellung > Symbolleiste anpassen.
2. Die Buttons für die beiden oben genannten Befehle in die Symbolleiste verschieben.
3. Fertig.
   

Zum Empfangen von Mails müssen nun die beiden Buttons in der oben beschriebenen Reihenfolge geklickt werden. Klingt komisch, ist aber so.