Crypto-Experten halten iMessage-Verschlüsselung für hinfällig
Marco Jahn, den 15. August 2016Nachrichten, die man via iMessage verschickt, werden verschlüsselt. Verschiedene Strafermittler haben sich schon die Zähne daran ausgebissen. Crypto-Experten der Johns Hopkins Universität haben nun eine Schwachstelle gefunden, mit der sich Nachrichten aus dem laufenden Traffic auslesen lassen – und empfehlen Apple ein Überdenken der Verschlüsselung.
Traffic mitlesen
Sicherheitsexperten der Johns Hopkins Universität haben eine Möglichkeit vorgestellt, mit der sich iMessages mitlesen lassen, während sie versendet oder empfangen werden (via Patently Apple). Sie hat nichts mit der Schwachstelle zu tun, die bereits im Umlauf ist. Sie setzte voraus, dass der Sender oder Empfänger noch online ist.
Die neue Methode funktioniert, wenn man an das TLS-Zertifikat kommt oder Zugriff auf die Apple-Server erhält. Das sei zwar ziemlich kompliziert und eine Gefahr durch „Script Kiddies“ gehe nicht aus, da es sehr unrealistisch ist, dass einfache Tools geschrieben würden, die das umgehen. Jedoch sei es gut vorstellbar, dass der Aufwand im Auftrag von Regierungsbehörden getrieben werden könnte.
Die neue Methode ist auch für ältere iMessages einsetzbar. Denn Apple tauscht die Keys nicht aus, die zum Verschlüsseln zum Einsatz kommen. Damit wäre es denkbar, dass sich Strafverfolger Zugang zu Apple-Servern verschaffen und dann ältere Nachrichten ebenfalls bekommen. Weiterhin sehen die Wissenschaftler noch mehr Apple-Funktionen in Gefahr. Beispielsweise nutze Handoff dieselbe Verschlüsselung, um den Datenaustausch zwischen verschiedenen Apple-Geräten zu realisieren. Jedoch gebe es neben Apple auch noch andere, die den gleichen Fehler begehen. OpenPGP, das von verschiedenen Instant Messengern verwendet wird, sei ebenfalls anfällig.
Apple wurde schon des Öfteren über mögliche Probleme bei der Verschlüsselung aufgeklärt und hat auch schön öfter Verbesserungen vorgenommen, beispielsweise mit iOS 9.3 und OS X 10.11.4. Dennoch raten die Wissenschaftler Apple dazu, sich eine neue Technik auszudenken, um die Wirksamkeit der Verschlüsselung zu verbessern.