{"id":151557,"date":"2019-12-30T13:33:21","date_gmt":"2019-12-30T12:33:21","guid":{"rendered":"https:\/\/www.iphone-ticker.de\/?p=151557"},"modified":"2019-12-30T13:47:08","modified_gmt":"2019-12-30T12:47:08","slug":"36c3-vortrag-google-sicherheitsforscher-erlaeutert-imessage-schwachstelle","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/36c3-vortrag-google-sicherheitsforscher-erlaeutert-imessage-schwachstelle-151557\/","title":{"rendered":"36C3-Vortrag: Google-Sicherheitsforscher erl\u00e4utert iMessage-Schwachstelle"},"content":{"rendered":"

Ihr erinnert euch vielleicht noch an die mit iOS 12.4 behobene iMessage-Sicherheitsl\u00fccke<\/a>, auf deren Basis ein Angreifer Schadsoftware auf einem iPhone oder anderen mit iMessage kompatiblen Ger\u00e4ten ausf\u00fchren konnte. Die Schwachstelle wurde von Google-Sicherheitsforschern entdeckt und an Apple gemeldet und soweit bekannt davor auch nicht aktiv ausgenutzt. Auf dem Jahreskongress des Chaos Computer Club hat mit Samuel Gro\u00df einer der Entdecker der Schwachstelle nun Details dazu erl\u00e4utert<\/a> und Apple zudem aufgefordert, iOS besser gegen derartige Angriffsszenarien zu sch\u00fctzen.<\/p>\n

\"Imessage<\/a><\/p>\n

Zun\u00e4chst einmal kritisiert Gro\u00df, dass iMessage mit dem Einrichten eines neuen iOS-Ger\u00e4ts mehr oder weniger automatisch aktiviert wird und es nicht m\u00f6glich ist, Nachrichten von unbekannten Absendern generell zu unterdr\u00fccken. Die standardm\u00e4\u00dfige Zustellung auch von Nachrichten unbekannter Herkunft \u00f6ffne derartigen Angriffen \u00fcberhaupt erstmal T\u00fcr und Tor.<\/p>\n

Apple selbst hat laut Gro\u00df keinerlei M\u00f6glichkeit, Angriffe wie den in seinem Vortrag beschriebenen zu filtern oder serverseitig zu blockieren. Hier komme Apple die iMessage-Verschl\u00fcsselung in die Quere – die zweifellos positive Tatsache, dass Apple die Inhalte der \u00fcber iMessage verschickten Nachrichten nicht kennt, bedeutet eben auch, dass auf diesem Weg verschickte Schadsoftware nicht erkannt werden kann. Gro\u00df zufolge sei der von seinem Team aufgedeckte Fehler zwar korrigiert, grunds\u00e4tzlich bestehe jedoch jederzeit die Gefahr, dass vergleichbare Schwachstellen neues Angriffspotenzial bieten.<\/p>\n

Der 60 Minuten lange, im Original<\/a> englischsprachige Vortrag gew\u00e4hrt auch ein wenig Einblick in die Arbeitsweise von Googles Sicherheitsteam. Nicht nur mit Blick auf die Herangehensweise bei der Suche nach solchen Schwachstellen, sondern auch die grundlegende Philosophie betreffend. So erz\u00e4hlt Gro\u00df, dass Apple selbstverst\u00e4ndlich sofort und umfassend \u00fcber die Entdeckungen informiert wurde, w\u00e4hrend die Details f\u00fcr sonst niemand zug\u00e4nglich gemacht wurden. Auf Nachfrage best\u00e4tigte Gro\u00df, dass sein Team von Apple keine Entsch\u00e4digung oder Pr\u00e4mie erhalten, allerdings auch nicht verlangt habe.<\/p>\n

Apple wurde in der Vergangenheit oft daf\u00fcr kritisiert, keine oder nur geringe Belohnungen f\u00fcr aufgedeckte Schwachstellen bezahlen. Erst kurz vor Weihnachten wurden diese Pr\u00e4mien nun deutlich aufgestockt<\/a>.<\/p>\n