ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Smartphone

iOS-Lücke: Forscher entschlüsseln iMessage-Nachrichten

Nicolas La Rocco
32 Kommentare
iOS-Lücke: Forscher entschlüsseln iMessage-Nachrichten

Inmitten des Krypto-Streits zwischen Apple und dem FBI ist es Forschern der Johns Hopkins University gelungen, eine Sicherheitslücke in iOS auszunutzen, die dafür genutzt werden kann, Nachrichten aus iMessage zu entschlüsseln und deren Inhalt preiszugeben. Mit dem für heute geplanten iOS 9.3 soll die Lücke geschlossen werden.

Einfluss auf die Entschlüsselung des Smartphones von einem der Attentäter des Terroranschlags von San Bernardino hat die Entdeckung der Forscher nicht, erklärt die Universität gegenüber dem Chicago Tribune. Das Angriffsszenario der Forscher hat es auf Nachrichten, die zwischen dem Smartphone und Apples Servern für iMessage verschickt werden, abgesehen, nicht auf die auf dem Smartphone gespeicherten, verschlüsselten Daten, an die das FBI derzeit versucht heranzukommen.

Sicherheitslücke bereits letztes Jahr vermutet

Matthew Green, Informatik-Professor an der Johns Hopkins University, hatte schon letztes Jahr eine Sicherheitslücke in iMessage vermutet, als er eine von Apple herausgegebene Beschreibung der genutzten Verschlüsselung gelesen hatte, erklärt er gegenüber der Zeitung. Daraufhin hatte er Ingenieure von Apple über die potenzielle Sicherheitslücke informiert. Als nach Monaten aber keine Schließung der Lücke erfolgte, versuchten sich die Forscher an einer Ausnutzung der Lücke.

Nach Monaten gelang es der Universität schließlich, über iMessage verschickte Fotos und Videos zu entschlüsseln. Dafür haben die Forscher eine Software entwickelt, die einen Apple-Server nachahmt. Die verschlüsselte Übertragung, die attackiert wurde, beinhaltete einen Link zu einem auf iCloud gespeicherten Foto und einen 64-stelligen Schlüssel, um das Foto zu entschlüsseln. Die Studenten probierten Tausende Schlüssel mit jeweils an einer Stelle veränderten Zeichen aus, bis das iPhone den korrekten Schlüssel schließlich akzeptierte.

Ausschlaggebend für den Erfolg der Universität waren zwei Faktoren: Für die Forscher war über eine positive Rückmeldung des Telefons erkennbar, sobald das iPhone nur eine der 64 Stellen als richtig erkannte, außerdem gab es keine Limitierung der Versuche. So konnte nach und nach, Stelle für Stelle, per Brute Force der richtige Schlüssel erraten werden. Mit dem vollständigen Schlüssel gelang es dann schließlich, das Foto von Apples Server abzurufen, ein Nutzer hätte davon bei einem echten Angriff nichts gemerkt, erklärt Green.

iOS 9.3 schließt die Lücke heute Abend

Apple habe die Lücke teilweise mit iOS 9 geschlossen, erklärt das Unternehmen gegenüber dem Chicago Tribune, mit iOS 9.3, dessen Veröffentlichung für heute Abend geplant ist, soll das Problem vollständig beseitigt werden. Erst nach Schließung der Lücke will die Universität einen ausführlichen Bericht mit allen Details zum Angriffsszenario veröffentlichen. Apple habe „hervorragende“ Kryptographen, erklärt Green, aber selbst diese hätten das iPhone nicht ganz absichern können. Green sei besorgt darüber, dass aktuell über Hintertüren in Verschlüsselungen diskutiert werde, obwohl derzeit noch nicht mal eine grundlegende Absicherung möglich sei.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz