F

Sicherheitsrisiko JavaScript: Wie sicher sind E-Mail-Apps für iOS?

E-Mail-Apps für iOS gehen oft zu sorglos mit JavaScript um. Um das Sicherheitsrisiko zu vermindern, sollte die JavaScript-Nutzung eingeschränkt werden.

Ich habe kürzlich gelesen, dass die E-Mail-iOS-App eines Drittanbieters automatisch JavaScript ausführt. Warum hat der Apple App Store diese nicht als ein Problem ausgewiesen? Wie kann ich in meinem Unternehmen sicherstellen, dass meine Nutzer vor den Risiken von JavaScript geschützt sind, ohne dass ich ein eigenes System zum Überprüfen von Applikationen einführen muss?

Mailbox ist eine populäre Drittanbieter-E-Mail-Applikation für iPhone und iPad, inzwischen wurde sie vom Cloud-Speicheranbieter Dropbox aufgekauft. Michele Spagnuolo, einem Experten für die Sicherheit von Web-Applikationen, ist kürzlich aufgefallen, dass die Applikation JavaScript in eingehenden HTML-E-Mails automatisch ausführt. Die Anwendung lädt zudem externe Bilder und es gab keine Option, um dieses Verhalten zu ändern.

Auf den ersten Blick sieht das aus wie eine große Aufregung um nichts. Der Apple App Store hat diese Funktion nicht als problematisch identifiziert und auch viele Sicherheitsexperten haben damit kein Problem. Dazu kommt, dass zahlreiche populäre Webseiten mit JavaScript vollgepackt sind und ohne die Technik nicht wirklich funktionieren.

Also, warum ist JavaScript in E-Mails gefährlicher als auf Webseiten? Sind die JavaScript-Risiken in Mail-Nachrichten höher als im Web?

Bei JavaScript geht es vor allem um die Kontrollmöglichkeiten

Tatsächlich ist es eher eine Frage der Kontrolle. Ein Nutzer kann sich aktiv entscheiden, eine Webseite zu besuchen – er hat aber keine Kontrolle darüber, ob eine ankommende E-Mail JavaScript enthält und ausgeführt wird. 

Spam-Filter können zwar genutzt werden um bestimmte Arten von E-Mails oder definierte Absender zu blockieren, allerdings können auch hier bösartige Nachrichten durchrutschen. Webseiten lassen sich mithilfe digitaler Zertifikate überprüfen, zudem können Nutzer mit Hilfe von Erweiterungen wie NoScript aktiv kontrollieren, welche Arten von JavaScript ausgeführt werden. 

Sind die JavaScript-Risiken in Mail-Nachrichten höher als im Web?

Bei E-Mails ist es allerdings für Angreifer leicht, die Absenderadresse zu fälschen und so bösartigen Inhalt auf die Endgeräte der Nutzer zu schmuggeln. Das bedeutet, dass E-Mails so weit als möglich gesäubert sein sollten, bevor sie auf dem Gerät angezeigt werden. Und deswegen sollte der Nutzer alle Möglichkeiten haben, die nicht gewollten Inhalte auszublenden.

JavaScript wird bereits seit längerem von Cyberkriminellen genutzt, um bösartige Inhalte zu laden oder in Webseiten zu verstecken. Damit lassen sich etwa Nutzeraktivitäten überwachen oder Zugangsdaten stehlen. 

Um diesen Attacken entgegenzuwirken, setzen aktuelle Browser auf die Same Origin Policy. Diese limitiert den Zugriff für Skripte, so dass diese Daten nur an die Seite senden können, auf der sie ausgeführt werden. 

Allerdings gibt es keine Same-Origin-Regelung für E-Mails, und wenn sie in einem Webmail-Dienst ausgeführt werden, können Angreifer die Webmail-Domain übernehmen und so potenziell ein Sicherheits-Desaster herbeiführen. Dies ist einer der Gründe, warum der Großteil der E-Mail-Clients kein JavaScript in Mail-Nachrichten ausführt – das gilt selbst für die meisten Webmail-Clients, auch diese schränken die JavaScript-Ausführung normalerweise ein.

JavaScript in E-Mail-Apps verletzen keine Store-Richtlinien

Die Mailbox-App an sich ist aber nicht bösartig, ihre Abläufe verletzen auch keine der App-Store-Regeln von Apple. Allerdings können Angreifer solche Designfehler ausnutzen, um in eigentlich harmlosen Applikationen bösartigen Code auszuführen oder etwa gezielte Phishing-Attacken durchzuführen. 

Die potenziell zu stehlenden Daten werden zwar von der in iOS integrierten Sandbox limitiert, allerdings hat eine E-Mail-Applikation Zugriff auf zahlreiche persönliche Informationen. Daten auf Endgeräten mit Jailbreak sind sogar in noch größerer Gefahr.

Mailbox hat inzwischen auf die Probleme reagiert und entfernt Bilder und JavaScript nun automatisch, bevor die E-Mails auf den Endgeräten dargestellt werden. Das Szenario zeigt aber dennoch, dass Unternehmen die eingesetzten Applikationen überprüfen und auf Schwachstellen abklopfen sollten, bevor diese auf Unternehmensnetzwerke zugreifen dürfen. 

Administratoren sollten die jeweiligen Security-Einstellungen der Apps genau unter die Lupe nehmen und prüfen, wie diese arbeiten. Dabei helfen Applikationen wie Wireshark: Damit lässt sich nicht nur die Datenübertragung im Netzwerk nachvollziehen, sondern auch, ob die Informationen verschlüsselt gesendet werden. Ein unternehmenseigener Enterprise App Store kann zudem dabei helfen, den Nutzern geprüfte Applikationen zur Verfügung zu stellen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Schutz

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close