iphone-ticker.de — Alles zum iPhone. Seit 2007. 37 714 Artikel

iOS 9.3 schafft Abhilfe

Sicherheitsleck in iMessage legt Videos und Fotos frei

Artikel auf Mastodon teilen.
27 Kommentare 27

Obgleich Apple die starke Verschlüsselung seines Kurznachrichten-Dienstes iMessage im Laufe der letzten Jahre stets gesondert betonte, ist der Zugriff auf übertragene Videos und Bilder möglich.

nachrichten

Ein Umstand auf den nun ein Team von Sicherheitsforschern der in Baltimore ansässigen Johns Hopkins Universität aufmerksam macht und die von Apple implementieren Sicherheits-Algorithmen kritisiert. Nach Angaben der Security-Experten lassen sich per iMessage übertragene Medien-Inhalte von „qualifizierten Angreifern“ entschlüsseln.

Zwar setzt die Attacke ein Mitschneiden der Datenkommunikation zwischen dem iPhone und Apples Servern (bzw. einem nachgebauten Fake-Server) voraus, sobald der Zugriff auf den Datenstrom hergestellt ist, würden sich die Medien-Inhalte jedoch mit vergleichsweise einfachen Brute-Force-Methoden freilegen lassen.

Die Washington Post berichtet exklusiv:

To intercept a file, the researchers wrote software to mimic an Apple server. The encrypted transmission they targeted contained a link to the photo stored in Apple’s iCloud server as well as a 64-digit key to decrypt the photo. Although the students could not see the key’s digits, they guessed at them by a repetitive process of changing a digit or a letter in the key and sending it back to the target phone. Each time they guessed a digit correctly, the phone accepted it. They probed the phone in this way thousands of times.

iOS 9.3 stopft die Lücke

Nach Angaben der Forscher hat Apple den Fehler in der Haus-Verschlüsselung bereits behoben und wird das Datenleck mit der für heute geplanten iOS-Aktualisierung auf Version 9.3 wieder stopfen. Um ein entsprechendes Update für die Nachrichten-Anwendung auf dem Mac dürfte sich die anstehende OS X-Aktualisierung kümmern.

Header-Bild: Shutterstock

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
21. Mrz 2016 um 12:34 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    27 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • It’s not a bug, it’s a feature. Das ist vermutlich die Schnittstelle für die NSA. Die muss jetzt wohl angepasst werden.

  • Go Apple, noch nie hab ich solch ein Unternehmen wegen der Sicherheit gemocht, Apple übertrifft da etwas oder? Klärt mich auf wenn nicht. Gibt es noch Mobilfunkgeräte die so sicher sind wie iOS Geräte?

  • Ist das bei der letzten Public Beta gefixt worden? Kann jemand darüber Auskunft geben?

  • „bereits behoben“ ist gut. Die Lücke wurde 2015 an Apple gemeldet. Nachdem mehrere Monate vergangen waren, und Apple diese immer noch nicht geschlossen hatte, hat man den Angriff entwickelt. Mit 9.2 gab es wohl erste versuche die Lücke zu schließen, diese sind aber gescheitert. Tut doch bitte nicht so als ob Apple schnell auf solche Probleme reagiert.

  • Vor wenigen Tagen kursierte in den sozialen Medien ein Video, wo sich das iPhone mittels Siri und der Weltuhr mit nur wenigen Schritten komplett entsperren lies.
    So wie ich das in vielen Kommentaren gelesen hatte, schien das auch zu klappen. Dachte eigentlich auch, dass hier darüber berichtet wird, aber es kam nix. War das vielleicht sonst jemandem bekannt?!

    • In den Videos hat der Akteur stets vorher kaum merklich das iPhone mit seinen Finger in Hintergrund entsperrt. Achte mal drauf :)

    • Nein, das hat nie funktioniert! Ich und andere, die sauber testen können, wissen, dass dies eine unsinnige Aussage ist. Und selbst ein paar von denen, die unsauber testeten, erkannten später, dass ein Schritt unsauber war und deshalb auch bei ihnen das Entsperren über Siri nicht funktioniert. Leider wird es immer viel mehr wenig Intelligente geben, die diesen Schwachsinn felsenfest behaupten. Das ist diese sogenannte Schwarmintelligenz …

      Also: Dies ist nur eine pure dumpfsinnige Unterstellung gewesen, weil derjenige zu dumm war die angegebenen Schritte sauber durchzuführen und nie einen registrierten Finger auf den Touch ID Knopf zu platzieren.

  • Wieso steht die Fehlerbehebung nicht in der Beschreibung der Betas von 9.3?

  • Wie lange brauchen noch mal die Androiden im Vergleich dazu und ziehen dann auch wirklich alle Hersteller mit? Dort ist dauernd was von Sicherheitslecks zu lesen und wenn man ein 1,5 Jahre altes Gerät hat, bekommt man nicht mal mehr das neueste OS.

    • Google reagiert mit Stock Android relativ schnell, Patches kommen auch außer der Reihe ohne das man gleich eine neue Version ankündigen muss. In dem Fall hätte vielleicht sogar ein Update der App via PlayStore gereicht. Google lagert ja die meisten System-Apps (und einige System-Komponenten in den PlayStore aus). Google hätte allerdings mehr Einfluss auf Drittanbieter (Samsung, HTC, SOny …) nehmen müssen. Würden die ähnlich schnell (bzw überhaupt) patchen wie es Google macht wäre Android mit iOS gleichauf.

  • Apple reagiert häufig recht langsam auf Sicherheitslücken, was aber auch eventuell damit zu tun hat, dass das Stopfen solcher eben auch seine Zeit und seine Tests braucht. Dennoch, bei all den Sicherheitslücken, besonders in letzter Zeit, braucht das FBI nicht wirklich eine Backdoor. iOS ist nun mal nicht sicher, wer sich das mal näher anschauen möchte, kann ja mal eine Veranstaltung einer IT Sicherheitsfirma besuchen. Das Apple durch seine Reden und sein Marketing aber häufig suggeriert, dass ihr System sicher sei, ist meiner Meinung nach ein Problem.

  • Rambo mich wundert die Aussage. Denn Laut dem BUndesamt für Sicherheit in der Informationstechnik ist iOS sicher. Auch Frauenhofer sagt sicher. Die einzige BSI Zertifizierten Lösungen basieren auf iOS. 80% der Firmengeräte weltweit sind iOS. Mit der Einführung der AppleSecurityEnclave hat sich die Lage drastisch geändert, so dass heute ein FBI und co bei Apple anklopfen weil Sie die AES256 Verschlüsselung von nem iPhone 5 nicht brechen können ohne die private Keys zu löschen. Da hat die Sicherheit Ihren Zweck erfüllt.
    Zum Vergleich, nur 6% sind Android, davon grad mal 1% samsung und 0,3% Google Nativ. Für Android gibt es keine einzige Zertifizierung weltweit für Enterprise Einsatz.

    Das sind nur die Fakten der letzten 5 Jahre!

  • Das taussende deutsche Apple IDs gehackt worden sind, ist wohl eher ein Aufreger.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 37714 Artikel in den vergangenen 6136 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven