Sicherheitsleck in iMessage legt Videos und Fotos frei

Obgleich Apple die starke Verschlüsselung seines Kurznachrichten-Dienstes iMessage im Laufe der letzten Jahre stets gesondert betonte, ist der Zugriff auf übertragene Videos und Bilder möglich.

Ein Umstand auf den nun ein Team von Sicherheitsforschern der in Baltimore ansässigen Johns Hopkins Universität aufmerksam macht und die von Apple implementieren Sicherheits-Algorithmen kritisiert. Nach Angaben der Security-Experten lassen sich per iMessage übertragene Medien-Inhalte von „qualifizierten Angreifern“ entschlüsseln.

Zwar setzt die Attacke ein Mitschneiden der Datenkommunikation zwischen dem iPhone und Apples Servern (bzw. einem nachgebauten Fake-Server) voraus, sobald der Zugriff auf den Datenstrom hergestellt ist, würden sich die Medien-Inhalte jedoch mit vergleichsweise einfachen Brute-Force-Methoden freilegen lassen.

Die Washington Post berichtet exklusiv:

To intercept a file, the researchers wrote software to mimic an Apple server. The encrypted transmission they targeted contained a link to the photo stored in Apple’s iCloud server as well as a 64-digit key to decrypt the photo. Although the students could not see the key’s digits, they guessed at them by a repetitive process of changing a digit or a letter in the key and sending it back to the target phone. Each time they guessed a digit correctly, the phone accepted it. They probed the phone in this way thousands of times.

iOS 9.3 stopft die Lücke

Nach Angaben der Forscher hat Apple den Fehler in der Haus-Verschlüsselung bereits behoben und wird das Datenleck mit der für heute geplanten iOS-Aktualisierung auf Version 9.3 wieder stopfen. Um ein entsprechendes Update für die Nachrichten-Anwendung auf dem Mac dürfte sich die anstehende OS X-Aktualisierung kümmern.

Header-Bild: Shutterstock