Einfach auszuhebeln

Vorsicht: Sicherheitslücke in beliebtem E-Mail-Client AirMail 3 verschickt E-Mails und Dateien

Sicherheitslücke in AirMail 3 verschickt E-Mails und Dateien. Der beliebte E-Mail-Client hat ein dramatisches Sicherheitsleck. Die Software nutzt Apples Webview, um HTML-E-Mails zu rendern. Über diesen Angriffsvektor können präparierte E-Mails schlimmstenfalls sogar ohne Zutun der Nutzer andere E-Mails und Dateien an einen Angreifer weiterleiten. Bislang gibt es noch keine Lösung.

Von   Uhr

AirMail 3 ist eine Alternative für den Versand und die Verwaltung von E-Mails am Mac. Wegen seiner Beliebtheit wird die Software zunehmend zum Einfallstor für Angreifer.

Experten enthüllen Sicherheitslücke in AirMail 3

Nun haben IT-Sicherheitsexperten der Firma Versprite drastische Lücken in der Software aufgedeckt. Die können schlimmstenfalls sogar die komplette E-Mail-Datenbank an Dritte weiterleiten, sogar ohne, dass der Nutzer besonders selbst aktiv werden müsste.

Sie schauen sich E-Mails in AirMail 3 an? Dann haben Sie bereits genug getan, um Angreifern dabei zu helfen, Ihre Daten auszuspionieren. Tatsächlich können speziell präparierte HTML-E-Mails Befehle des E-Mail-Clients auslösen, die wiederum Dateien und E-Mails, unbemerkt an Fremde weiterleiten. In den meisten Fällen müssen Sie aber noch auf einen Link in einer solchen E-Mail klicken. Doch den Forschern gelang es auch in einigen Fällen den Mechanismus auszulösen, ohne dass der Nutzer den Link klicken musste.

HTML-E-Mails mit spezieller URL-Struktur

Den Forensikern zufolge ist es eine speziell präparierte URL-Struktur, die bei AirMail 3 autonom E-Mails mit Anhängen verschicken kann. Diese Anhänge können weitere E-Mails sein, E-Mail-Anhänge oder aber sogar der komplette Datenbankinhalt mit allen E-Mails.

Schwierig in dem Zusammenhang ist außerdem, dass die Daten von AirMail 3 an immer gleicher Stelle gespeichert würden. Kennt man den Speicherort einer App, kann man leicht erraten, wo Dateien auf dem fremden System gespeichert würden.

Noch keine Lösung

Bislang gibt es noch kein Update für die App, um die Sicherheitslücke zu beheben.

Sie sollten deshalb in jedem Fall vermeiden, E-Mails von Nutzern zu lesen, die Sie nicht kennen. Schalten Sie am besten auch die Anzeige von HTML-E-Mails aus und lassen Sie sich E-Mails nur in Ihrer Textversion anzeigen. Sinnvoll ist außerdem, dass Sie die Standardsignatur der App anpassen und nicht jedem mitteilen, dass Ihre E-Mails mit AirMail geschickt wurden.

Update vom 23. August: Der Hersteller hat mittlerweile die Sicherheitslücke behoben. Sie sollten also das Update aus dem Mac App Store einspielen.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Vorsicht: Sicherheitslücke in beliebtem E-Mail-Client AirMail 3 verschickt E-Mails und Dateien" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Die Kommentare für diesen Artikel sind geschlossen.