Forensik-Tool-Hersteller: Apple speichert iPhone-Anrufprotokolle in iCloud – für viele Monate

Inhaltsverzeichnis

Zu den von iCloud synchronisierten Daten zählt seit iOS 9 auch die iPhone-Anrufliste des Nutzers. Das Anrufprotokoll wird automatisch – und ohne expliziten Hinweis – auf Apples Server übertragen, eine einfache Möglichkeit zur Deaktivierung der Funktion gibt es nicht. Der einzige Weg, dies zu unterbinden, liege in der Deaktivierung von iCloud Drive, erklärt der Forensik-Software-Hersteller Elcomsoft. Damit werden aber auch andere iCloud-Funktionen beeinträchtigt, unter anderem der Abgleich von Dokumenten.

Apple speichert die Anrufliste in vollem Umfang in iCloud, schreibt Elcomsoft. Sie enthält also neben Datum und Uhrzeit auch Nummer und den im Adressbuch hinterlegten Namen des Kontakts, die Dauer des Anrufs sowie Statusinformationen – ob ein Anruf beispielsweise verpasst wurde. Durch die Systemintegration von VoIP-Apps in iOS 10 gelangen zusätzliche Daten in die Liste, etwa verpasste WhatsApp- oder Skype-Anrufe. Neben Mobilfunktelefonaten werden dort ansonsten auch die über Apples Kommunikationsdienst FaceTime geführten Gespräche verzeichnet und synchronisiert.

Stellungnahme von Apple

In einer Stellungnahme gegenüber US-Medien erklärte Apple, man stelle die Synchronisation der Anrufdaten als Komfortfunktion bereit, damit Nutzer verpasste Anrufe von jedem ihrer Geräte beantworten können. Das Unternehmen sei sehr darauf bedacht, Nutzerdaten zu schützen. Apple empfiehlt die Verwendung eines starken Passwortes sowie die Aktivierung der Zwei-Faktor-Authentifizierung.

Der Forensik-Software-Hersteller Elcomsoft hat das hauseigene Tool “Phone Breaker” angepasst, um die von Apple in iCloud gespeicherte iPhone-Anrufliste auszulesen. Die Anrufhistorie ist auch Teil des automatisch aktiven iCloud-Backups, das sich aber jederzeit leicht abschalten lässt. Im Unterschied zu dem möglicherweise älteren Stand des Backups können Strafverfolger durch die eigenständige iCloud-Anrufliste "nahezu in Echtzeit" Zugriff auf das Telefonierverhalten einer Zielperson erhalten – vorausgesetzt wird die Kenntnis von Apple ID und Passwort oder ein vom Computer des Überwachten entwendeter Authentifizierungs-Token.

Über den Download des synchronisierten Anrufprotokolls werde der Nutzer zudem nicht von Apple informiert, betont der Forensik-Software-Hersteller – im Unterschied zum Bezug eines Backups auf einem neuen Gerät, auf das der iPhone-Hersteller per E-Mail hinweist. Elcomsoft war nach eigener Angabe außerdem in der Lage, Daten aus der iCloud-Anrufliste zu extrahieren, die älter als vier Monate sind.

Zugriff für Strafverfolger?

Ob Apple Strafverfolgungsbehörden direkten Zugriff auf die iCloud-Anrufliste einräumt, bleibt unklar. Auf richterlichen Beschluss behält sich das Unternehmen vor, eine Reihe von iCloud-Daten herauszurücken: Darunter fallen etwa vollständige iCloud-Backups, die neben der Anrufhistorie auch iMessage-Konversationen umfassen. Auch Metadaten zu dem Ende-zu-Ende-verschlüsselten iMessage-Dienst (und FaceTime) gibt Apple heraus, diese sollen aber nur für 30 Tage vorgehalten werden – und zeigen nicht, ob eine Kommunikation tatsächlich stattgefunden hat. Ein Großteil der anderen iCloud-Dienste ist derzeit nicht Ende-zu-Ende-verschlüsselt. Die Nutzerdaten liegen zwar verschlüsselt auf Apples Servern, der Konzern besitzt aber den Schlüssel.

Andere Plattformen, gleiches Problem

Die Synchronisation der Anrufliste sei keine Eigenheit von Apple respektive iOS, merkt Elcomsoft an. Auch Android-Geräte übertragen die Anrufe seit Version 6.0 auf Googles Server, wenn der Nutzer für die Google Play Services angemeldet ist. Windows 10 gleiche die Anrufprotokolle ebenfalls zwischen allen Geräten ab, auf denen der Nutzer mit seinem Account angemeldet ist. (lbe)