ZecOps, een bedrijf dat gespecialiseerd is in cyberveiligheid in San Francisco, heeft twee zogenaamde zero-day bugs in de standaard Mail-app van iOS gevonden. Zero-day bugs zijn de meest serieuze, die kunnen verregaand misbruikt worden, in dit geval ook op afstand.

Maar er is ook goed nieuws, bij Apple zijn deze twee zero-day bugs al bekend en in de beta-versie van iOS 13.4.5 zijn die al verholpen. Deze update wordt ergens in de komende weken verwacht. De vraag lijkt dus vooral of deze bugs buiten ZecOps ook bekend zijn, de onderzoekers daar raden aan om in de tussentijd een andere apps voor je mail te gebruiken, bijvoorbeeld Gmail of Outlook. De vraag is natuurlijk of die apps geen vergelijkbare bugs hebben, maar die zijn op dit moment in ieder geval niet bekend.


klik op de afbeelding voor een grotere versie

Zoals je hierboven kan zien bestaan deze problemen al veel langer, al sinds iOS 6 (dat in september 2012 uitkwam). Volgens ZecOps zijn ze ook al eerder misbruikt, in januari 2018 zou dat bijvoorbeeld in iOS 11.2.2 gebeurd zijn. Onderaan in het midden kan je zien welke melding je krijgt als een hacker deze bugs heeft geprobeerd te misbruiken, maar het niet gelukt is.

Mail en veiligheid

Een zero-day bug is vervelend, maar in Mail is niet zo’n heel erg groot probleem. De reden daarvoor is simpel, mail is helemaal geen medium waarmee je gevoelige informatie mee moet delen. Zo is mail standaard helemaal niet versleuteld, terwijl Apple’s eigen Berichten-app dat bijvoorbeeld wel is.

Mocht je dingen willen of moeten uitwisselen met gebruikers van andere platformen dan kan je bijvoorbeeld Signal gebruiken, de verschillende versies daarvan kan je op deze pagina vinden.


met dank aan forumlid ‘VwVanFan’, die dit nieuws als eerste meldde


Update: Apple heeft een verklaring aan Bloomberg gestuurd waarin ze verklaren dat er niet echt gevaar is, dat deze bug volgens hen nog niet misbruikt is en dat het inderdaad binnenkort in een software update opgelost wordt.

https://twitter.com/markgurman/status/1253511977533489154

 

#iOS #Bug

Wat voortreffelijk en geruststellend gebagatelliseerd. Vooral de speculatie dat andere mailprogramma's misschien wel dezelfde of vergelijkbare bugs bevatten ondanks dat daar nog niet iets over bekend is gemaakt, kom je alleen tegen op Apple fan-sites als MacFreak.

Er zijn trouwens hele volksstammen die wachtwoorden en zeer persoonlijke informatie per mail uitwisselen. Dat dit niet zo veilig is, is vaak niet bekend. Daar heeft de AVG overigens goed werk gedaan.

Vraag is of deze bug ernstig genoeg is om ook eerdere versies van iOS te patchen. Er zijn nog heel wat devices in gebruik welke niet geüpgraded kunnen worden naar iOS 13. Ik wacht met spanning af.

"To whom it may concern": misschien een reden om nog eens een blik te werpen op Proton Mail: end-to-end versleuteld, en hard op weg om open source te worden.

@Timotheus, gelijk geïnstalleerd maar ik vraag me gelijk af of de ontvanger ook ProtonMail moet hebben voor die versleuteling 
Kon het niet vinden in de kleine lettertjes

Apple Finds No Evidence Hackers Exploited iPhone, iPad Mail Flaw.

@ouwemac: de ontvanger hoeft geen protonmail te hebben om beveiligde berichten te ontvangen. Het is dan echter niet zo makkelijk als met de protonmail app. Dit zegt Protonmail er over:

Even your communication with non-ProtonMail users can be secure
We support sending encrypted communication to non-ProtonMail users via symmetric encryption. When you send an encrypted message to a non-ProtonMail user, they receive a link which loads the encrypted message onto their browser, which they can decrypt using a passphrase that you have shared with them. You can also send unencrypted messages to Gmail, Yahoo, Outlook and others, just like regular email.

Volgens mij moet je hier wel een plus-account voor hebben en die is niet gratis.

@ouwemac: een complicatie waar ik aan heb gedacht: als je een versleuteld bericht naar iemand stuurt, en die persoon antwoordt onversleuteld, ligt je bericht voor kwaadwillenden vermoedelijk evengoed op straat, omdat dat bericht onder het antwoord zal staan.

Maar goed, Protonmail wordt gemaakt door mensen die privacy zeer serieus nemen, en veel geld en moeite steken in de ontwikkeling van instrumenten die fundamentele burgerrechten beschermen. Alleen daarom al verdient het onze sympathie.

En voor mensen die mailen over gevoelige zaken, van welke aard dan ook, lijkt het me zeer de moeite waard om de ins en outs van Protonmail eens goed te bestuderen (wat ik zelf nog niet heb gedaan).  Daar zal vast veel profijt van te trekken te zijn, want de naam en faam van Protonmail zullen heus wel op iets deugdelijks gebaseerd zijn. 

Er is een update bij dit nieuwsbericht gezet.

Wat voortreffelijk en geruststellend gebagatelliseerd. Vooral de speculatie dat andere mailprogramma's misschien wel dezelfde of vergelijkbare bugs bevatten ondanks dat daar nog niet iets over bekend is gemaakt, kom je alleen tegen op Apple fan-sites als MacFreak.

Het is maar hoe je iets leest.

Daarmee wilde ik vooral extra duidelijk maken dat mail in het algemeen helemaal geen veilige manier van communiceren is.

Dat mailverkeer niet bepaald veilig is, is één. Dat de default iOS mail app misbruikt kan worden om in te breken op je telefoon zonder dat je daar iets tegen kan doen en zonder dat je er iets van merkt is toch echt iets anders. Da's gewoon een wreed grote vulnerability die als een malle gedicht moet worden. Nee, de hacker heeft niet meteen rootrechten, maar is wel binnen en kan in ieder geval alles met je mail doen.

Apple is al sinds februari op de hoogte dus dan is een berichtje nadat het wereldkundig is gemaakt 'dat het allemaal wel meevalt en dat er geen gevallen bekend zijn' niet bepaald geruststellend... Zeker als de onderzoekers die het ontdekt hebben melden "that these vulnerabilities are widely exploited in the wild in targeted attacks by an advanced threat operator" (linkje)

Dus ja... ik durf te stellen dat zo'n zero day bug in Mail wel een groot probleem is. Apple had gewoon iets sneller moeten acteren.

@HCvP en Timotheus:
Ik ging ervan uit dat ProtonMail automatisch versleutelde dus na jullie reacties ging ik nog eens goed kijken.
Als je een e-mail verstuurd met protonmail zie je onder de vakjes “van” “aan” en “subject” o.a. een slotje. Als je dat selecteert kun je een password opgeven voor de ontvanger, zoals proton zelf ook beschrijft in de post van HCvP. Dat had ik eerder over het hoofd gezien.

Ik heb de gratis versie geïnstalleerd maar overweeg om de plus variant te nemen, het is maar €4 p. mnd. als je ook ProtonVPN hebt las ik.
Dan krijg je ook nog een domain erbij. Moet ik nog wel een toepassing voor vinden dan. Maar dat komt later wel.