Quarkslab mit Sitz in Paris hat seine Befunde auf der Konferenz Hack in the Box in Kuala Lumpur vorgestellt. „Apples Behauptung, es könne die von einem Ende zum anderen verschlüsselten iMessages nicht lesen, ist definitiv nicht wahr“, steht auch in einem von ihm zusammengestellten Whitepaper. „Wie sich jeder schon gedacht hat: Ja, das können sie!“
„Die Schwachstelle liegt in der Schlüssel-Infrastruktur, die von Apple kontrolliert wird“, heißt es weiter. „Apple kann Schlüssel jederzeit ändern und daher auch den Inhalt der Nachrichten lesen.“ Die Sicherheitsforscher behaupten nicht, dass Apple diese Möglichkeit wirklich nutzt.
Apple hatte mit seiner Stellungnahme im Juni Darstellungen widersprochen, die NSA habe Zugriff auf iMessage. Quarkslab zufolge ist es zumindest denkbar, dass ein Apple-Mitarbeiter aufgrund einer gerichtlichen Anordnung iMessage-Inhalte entschlüsselt und der NSA oder anderen US-Geheimdiensten beziehungsweise Polizeibehörden verfügbar macht.
Ein Angriff von außen auf das System ist dagegen nur schwer realisierbar, wie Ars Technica anmerkt. Um iMessage-Konversationen auszuspionieren, müsste ein Angreifer zeitweise Zugriff auf eines der verwendeten Endgeräte haben und eine Malware oder ein falsches Zertifikat installieren.
Im April 2013 war schon durchgesickert, dass zumindest die US-Drogenbehörde Drug Enforcement Administration (DEA) bei dem Versuch, die Kommunikation von Verdächtigen abzuhören, an Apples iMessage-Verschlüsselung gescheitert ist. In einem internen Dokument hieß es, dass es „unmöglich ist, iMessages zwischen zwei Geräten abzufangen“.
Update 19.10.
Gegenüber AllThingsDigital hat eine Apple-Sprecherin den Ergebnissen von Quarklabs widersprochen. „iMessage ist nicht darauf ausgelegt, dass Apple Nachrichten mitlesen kann. Die theoretische Diskussion diesbezüglich erfordert eine Neuentwicklung von iMessage. Apple hat aber keine Absicht iMessage neu zu entwickeln.”
[mit Material von Richard Nieva, News.com]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
