Ihr solltet alle beim iPhone und iPad eure Mail-App löschen

Rückblick für die Woche 17: Lücke in Apple Mail, Knatsch um die Corona-Tracking-Apps, neue Regeln für die Google-Werbung und eine Fernsehserie von Apple, die sich an einem Podcast orientiert.

Mail-Lücke bei iOS

Am Mittwoch ist eine Lücke in den Betriebssystemen von iPhone und iPad bekannt geworden, mit der offenbar Code auf den Geräten ausgeführt werden kann. Der Angriff erfolgt über ein präpariertes E-Mail, das sehr viel Arbeitsspeicher belegt. Die Mailnachricht müsse nicht besonders gross sein, erklärt das Unternehmen ZecOps, das die Lücke entdeckt hat. Ausgenutzt wird die Möglichkeit, ein Mail aus mehreren Elementen zusammenzubauen (multi-part). Um den Angriff auszuführen, müssen keine Anhänge geöffnet werden und es ist nicht nötig, das Mail vollständig herunterzuladen. Bei iOS 13 reicht es sogar, wenn die Mail-App selbst im Hintergrund aktiv wird.

Es gibt die Lücke schon seit iOS 6 und betroffen sind Apple Mail, nicht aber Outlook oder GMail. Und es gibt Anzeichen, dass sie auch fleissig ausgenutzt wurde. Bei den Opfern geht ZecOps nicht ins Detail. Es werden aber Leute aus «Fortune-500-Organisationen in Nordamerika, eine bekannte Persönlichkeit aus Deutschland und ein Journalist in Europa» aufgezählt. Plus: Verdächtig sei auch die Führungskraft eines Schweizer Unternehmens.

Inzwischen warnt auch das deutsche Bundesamt für Sicherheit in der Informationstechnik vor der Lücke:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Für die insgesamt zwei Schwachstellen stehen bislang keine Patches zur Verfügung. Medienberichten zufolge werden die Schwachstellen bereits aktiv ausgenutzt.

Als Nutzer hat man keine andere Möglichkeit, als die Mail-App bis zum Erscheinen eines Updates zu deaktivieren oder zumindest die hinterlegten Mailkontos zu löschen, damit keine gefährlichen Mails auf dem Gerät landen können.

Update: Apple hat folgendes Statement per Mail verschickt:

Wir haben den Bericht des Forschers gründlich untersucht und sind aufgrund der vorgelegten Informationen zu dem Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen. Der Forscher identifizierte drei Probleme in Mail, aber sie allein reichen nicht aus, um die Sicherheitsvorkehrungen für iPhone und iPad zu umgehen, und wir haben keine Beweise dafür gefunden, dass sie gegen Kunden eingesetzt wurden.

Das wiederum verleitete «The Verge» zum Kommentar, Apple spiele die Bedrohung herunter. Wer recht hat, lässt sich von aussen schwer beurteilen. So oder so sollte Apple die Sicherheitslücke so schnell als möglich schliessen.


Knatsch um den richtigen Ansatz bei den Corona-Tracking-Apps

Bei der Entwicklung der Corona-Tracking-App ist ein Streit darüber entbrannt, ob die Daten zentral oder dezentral verwaltet werden. Deutschland und Frankreich favorisieren den zentralen Ansatz. Doch ist auch Gründen des Datenschutzes problematisch. Darum wird auch an der Alternative entwickelt: Dabei werden die Daten auf den Geräten der Nutzer vorgehalten und verglichen – der «Match», falls man Kontakt mit einer infizierten Person hatte, erfolgt bei dieser Methode auf dem eigenen Gerät.

Noch letzte Woche konnte man von einem Eklat lesen: Deutsche schmeissen «Schweizer Lösung» raus, schrieb zum Beispiel das Schweizer Online-Portal Watson:

Der Schweizer Epidemiologe Marcel Salathé hat am Freitag via Twitter seinen Rücktritt bei PEPP-PT verkündet. Er sei zwar weiterhin fest überzeugt von den Kerngedanken des paneuropäischen Vorhabens, aber er könne nicht hinter etwas stehen, von dem er nicht wisse, wofür es steht.

Eine ausführliche Dokumentation der Geschehnisse liest man bei Golem. Die Quintessenz:

Es spricht einiges dafür, dass ein dezentraler Ansatz, wie er zur Zeit in der Schweiz und Österreich verfolgt wird, besser funktionieren wird. Google und Apple wollen die App-Entwicklung unterstützen – aber nur dezentral.

Golem erläutert auch, dass ohne die Unterstützung durch die Betriebssysteme (wie sie Google und Apple angekündigt haben) ohnehin nicht viel zu wollen ist. Da es iOS aus Energiespargründen Apps nicht erlauben, dauerhaft Bluetooth Low Energy zu verwenden, müsste man die App ständig im Vordergrund und das Telefon entsperrt halten, um ein kontinuierliches Tracking zu ermöglichen – so würde niemand die App verwenden wollen.

Ich bin dezidiert der Ansicht, dass es diese Apps braucht. Aber es ist auch klar, dass die Datenschutzbedenken nicht in den Wind geschlagen werden dürfen: Das hilft nur den Verschwörungstheoretikern, die schon jetzt behaupten, dass Coronavirus sei bloss eine «Erfindung der Eliten», um Bürgerrechte abzubauen. Ein guter Ausgangspunkt sind die zehn Prüfsteine für die Beurteilung von Contact Tracing-Apps des Chaos Computer Club:

Die Nutzung muss freiwillig sein; es braucht die Möglichkeit, den Quelltext einzusehen; es darf keine «allwissende zentrale Server» geben; die App muss datensparsam aufgebaut sein; die Kommunikation sollte nicht beobachtet werden können und es ist zu verhindern, dass ein Kuddelmuddel mit anderen Daten angerichtet wird. Und eben: Es soll nicht sein, dass nebenbei, quasi als Kollateralschaden, Kontakt- oder Bewegungsprofile entstehen.

Methoden wie zentrales GPS/Location-Logging oder eine Verknüpfung der Daten mit Telefonnummern, Social-Media-Accounts u. ä. sind daher grundsätzlich abzulehnen.


Google-Werbekunden müssen sich zu erkennen geben

Man wundert sich gelegentlich, was für Kampagnen bei Google Ads. Manches findet man bloss seltsam, anderes riecht ein bisschen nach Betrug. Und tatsächlich: Im Bad-Ads-Report erläutert Google selbst, dass täglich 6 Millionen anzeigen gelöscht würden. Das sind pro Jahr 2,3 Milliarden. Und nicht immer sind es nur windige Geschäftemacher, die solche Anzeigen schalten. Oft genug stecken auch politische Absichten dahinter, US-Sonderermittler Robert Mueller hat nachgewiesen, dass russische Agenten Zehntausende Anzeigen bei Google, aber auch bei Gmail und Youtube gebucht haben.

So wird man künftig sehen können, wer hinter einer Anzeige steckt.

Nun wird Google künftig verlangen, dass Werbetreibende ihre Identität künftig mit offiziellen Dokumenten dokumentieren müssen. Bislang sei das nur mittels Kreditkartennummern oder Websites passiert, die leicht manipulierbar seien. Heise.de nennt das eine Laissez-faire-Haltung:

Bisher verfolgt Google wie auch andere Online-Werbekonzerne eher eine Laissez-faire-Haltung: Es wird Anzeigenkunden so einfach wie möglich gemacht, Werbung zu schalten. Missbrauch wird oft erst nachträglich mit Techniken wie Künstlicher Intelligenz bekämpft. Die bisherigen Kontrollen umgehen Betrüger häufig mit Hilfe von gehackten Kreditkartenkonten oder gefälschten Websites.

Google beschreibt nun im Ads Blog, dass Kunden künftig die Möglichkeit haben, direkt in der Anzeige Informationen über den Werbetreibenden abzurufen. Sinnvoll – aber warum erst jetzt?


Podcasts als Vorlage für Streaming-Serien

Der Podcast «Shrink Next Door», den ich in meinem anderen Blog ausführlich besprochen habe, wird zur Serie. Die wird auf AppleTV+ zu sehen sein. Apple schrieb gestern in einer Pressemeldung:

Unter der Regie von Michael Showalter («The Big Sick», «The Lovebirds») und basierend auf dem Drehbuch von Georgia Pritchett («Succession», «Veep»), ist «The Shrink Next Door» eine düstere Komödie, inspiriert von wahren Begebenheiten, die die bizarre Beziehung zwischen dem Psychiater und den Stars Dr. Isaac «Ike» Herschkopf, gespielt von Paul Rudd, und seinem langjährigen Patienten Martin «Marty» Markowitz, gespielt von Will Ferrell. Im Laufe ihrer Beziehung übernimmt der allzu charmante Ike langsam Martys Leben und zieht sogar in Martys Haus in den Hamptons ein und übernimmt das Geschäft seiner Familie.

Ein voraussichtliches Datum für die Veröffentlichung hat Apple nicht angegeben. Ich bin trotzdem gespannt – und auch skeptisch. Ich glaube nämlich, dass es sehr schwierig sein wird, mit einer fiktionalen Geschichte an die Absurdität der realen Begebenheiten heranzukommen.

Beitragsbild: Hoffentlich nicht alles Viren-Mails! (Torsten Dettlaff, Pexels-Lizenz)

Kommentar verfassen