iOS: Sicherheitsforscher finden Lücke in iMessage-Verschlüsselung

Die Verschlüsselung von iMessage-Nachrichten kann mit einem Brute-Force-Angriff ausgehebelt werden, wie Forscher der Johns-Hopkins-Universität herausfanden. Die Lücke ist in aktuellen iOS-Versionen bereits teilweise gefixt.

In Pocket speichern vorlesen Druckansicht 61 Kommentare lesen
iOS: Sicherheitsforscher finden Lücke in iMessage-Verschlüsselung

iMessage auf iPad und iPhone.

(Bild: Apple)

Lesezeit: 2 Min.
Von

Eine Gruppe von Sicherheitsforschern der Johns-Hopkins-Universität in den USA hat eine Schwachstelle in der Verschlüsselung des Apple-Instant-Messaging-Dienstes iMessage gefunden. Über einen Brute-Force-Angriff lassen sich Krypto-Schlüssel für einzelne Dateien erraten. Der Angriff ist allerdings sehr aufwändig und ist wahrscheinlich nur für Geheimdienste praktikabel, meinte Krypto-Professor Matt Green, der die wissenschaftliche Arbeit beaufsichtigt hat, gegenüber der Washington Post.

Die Forscher nahmen eine ältere Version des iOS-Systems ins Visier und gaben sich gegenüber einem iPhone als Apple-Server aus. Die Schwachstelle besteht darin, dass das iPhone es zulässt, einzelne Stellen des 64-stelligen Krypto-Schlüssels für eine Datei zu erraten. Da das iPhone einzelne Stellen des Schlüssels akzeptierte, wenn die Forscher diese richtig geraten hatten, konnten sie so den kompletten Krypto-Schlüssel zusammenpuzzlen.

Der Fehler soll im aktuellen iOS 9.2 bereits teilweise behoben sein, mit dem demnächst kommenden iOS 9.3 endgültig geschlossen werden. Ob der Angriff auch auf dem Mac funktioniert, blieb zunächst unklar.

Green hatte die Möglichkeit eines solchen Angriffs vermutet, nachdem er Apples Dokumentation der iMessage-Kryptofunktionen studiert hatte. Er wies Apple bereits 2015 auf die Lücke hin und nachdem die Lücke nach ein paar Monaten nicht geschlossen wurde, entwickelte er zusammen mit seinen Studenten den Angriff.

Der Fall zeigt, wie schwer es ist, Verschlüsselung wirklich wasserdicht hinzubekommen. "Selbst Apple mit allem in der Firma versammelten Können – und die haben hervorragende Kryptografen – hat es nicht geschafft, das ganz fehlerfrei hinzubekommen", betonte Green.

Apple ist derzeit mit dem FBI in einen heftigen Streit um die Entsperrung eines Terroristen-iPhones verwickelt. Der Konzern wurde von einer Richterin in Kalifornien angewiesen, der Bundespolizei beim Entsperren des Geräts eines toten Attentäters zu helfen. Unter anderem soll Apple eine Software entwickeln, die es möglich macht, beliebig viele Passwort-Kombinationen auszuprobieren. Sonst löscht sich der Inhalt des Telefons nach zehn falschen Eingaben. (fab) / (bsc)