Passwörter bekannt 21.10.2013, 13:31 Uhr

Apples Kurznachrichtendienst iMessage doch nicht ganz sicher

Apple bezeichnet seinen verschlüsselten Nachrichtendienst iMessage als sicher. Niemand könne die direkten Nachrichten zwischen Sender und Empfänger mitlesen. Sicherheitsforscher sehen das aber anders – und haben sich jetzt zu Wort gemeldet.

Über iMessage von Apple können Nutzer direkt miteinander kommunizieren. Jetzt sind Zweifel aufgekommen, ob die Nachrichten wirklich wie von Apple behauptet niemand mitlesen kann.

Über iMessage von Apple können Nutzer direkt miteinander kommunizieren. Jetzt sind Zweifel aufgekommen, ob die Nachrichten wirklich wie von Apple behauptet niemand mitlesen kann.

Foto: Apple

Apple hält seinen Kurznachrichtendienst iMessage für sicher. Der Konzern aus Cupertino behauptet, dass niemand außer dem Sender und dem Empfänger die Kurznachrichten des Dienstes mitlesen könne.

Jetzt sind aber Zweifel an der verwendeten Verschlüsselung aufgekommen. Forscher des französischen Sicherheitsunternehmens Quarkslab behaupten, dass die Mitarbeiter von Apple die iMessage-Nachrichten mitlesen könnten. Der iPhone-Hersteller soll in der Lage sein, die Botschaften im Klartext von den eigenen Servern abzugreifen.

Mitlesen von iMessages ist für Apple möglich

Apple bleibt bei seiner Aussage, dass alle Nachrichten verschlüsselt seien und dass die eigenen Mitarbeiter diese nicht wieder entschlüsseln könnten. Es handele sich um eine Ende-zu-Ende-Verschlüsselung, deshalb könnten die Nachrichten nur von dem dafür vorgesehenen Adressaten geöffnet werden.

Die Sicherheitsforscher von Quarkslab hingegen gehen davon aus, dass Apple sich mit einem sogenannten Man-in-the-middle-Angriff durchaus dazwischen schalten und die Nachrichten mitlesen kann.

Auf Apples iOS- und OS X-Geräten ist iMessage das Standardprogramm für unkomplizierte Kommunikation mit Kurznachrichten. Der Konzern verhindert durch einen rigiden Authentifizierungsprozess zwischen Client und Server, dass Dritte auf Basis dieses Systems Anwendungen selbst entwickeln können. Weil Apple aber alleine über die Infrastruktur zur Verschlüsselung der Nachrichten bestimmt, kann der Inhalt von den Apple-Mitarbeitern in Cupertino auch jederzeit entschlüsselt werden.
Die Forscher, die das aufgedeckt haben, betonen aber ausdrücklich, dass Apple die Nachrichten zwar jederzeit mitschneiden könnte, es gäbe aber keine Hinweise, dass das aktuell auch gemacht würde. Sollten jedoch beispielsweise Regierungsdienste wie die NSA Apple dazu auffordern, iMessage-Nachrichten auszulesen, wäre das technisch kein Problem.

Apple kennt die Passwörter der Benutzer

iMessage hat noch ein weiteres Problem:  Die Passwörter der Nutzer werden zwar per sicherer SSL-Verbindung an Apple gesendet, aber diese bleiben für Apple lesbar, weil es nicht gehasht (verwürfelt) wird. Den Nutzern, die dieses Passwort auch noch für andere Dienste verwenden, sollte also klar sein: Apple kennt ihr Passwort.
Inzwischen hat sich auch Apple zu den von den Sicherheitsforschern entdeckten Sicherheitslücken im iMessage-Dienst gegenüber dem Blog AllThingsD unter der Überschrift „Nein, wir können Ihre iMessages nicht lesen – und wir wollen das auch nicht.“ geäußert.

Für den Konzern sind die Überlegungen der externen Experten zwar durchaus eine realisierbare Möglichkeit, die Nachrichten der Nutzer mitzulesen. Das sei aber „natürlich“ in keinster Weise die Absicht des Konzerns – und würde auch nicht praktiziert.

Top Stellenangebote

ENERCON-Firmenlogo
ENERCON Versuchs- und Projekt-ingenieur (m/w) Generatorprüfung Aurich
Diehl Defence GmbH & Co. KG-Firmenlogo
Diehl Defence GmbH & Co. KG Entwicklungsingenieur (m/w) Röthenbach a. d. Pegnitz
Krankenhaus der Barmherzigen Brüder Trier-Firmenlogo
Krankenhaus der Barmherzigen Brüder Trier Bauingenieur/-in / Bautechniker/-in Trier
über JK Personal Consult GmbH-Firmenlogo
über JK Personal Consult GmbH Leiter Elektrokonstruktion (m/w) Dreieck Bielefeld-Dortmund- Paderborn
Berlin Metropolitan School-Firmenlogo
Berlin Metropolitan School Rewarding Career Bauleiter / Projektleiter (m/w) Berlin
über IRC - International Recruitment Company Germany GmbH-Firmenlogo
über IRC - International Recruitment Company Germany GmbH Eisenbahningenieur (m/w) München
Odenwald-Chemie GmbH-Firmenlogo
Odenwald-Chemie GmbH Projektleiter (w/m) Neckarsteinach
Andritz Separation GmbH-Firmenlogo
Andritz Separation GmbH Ingenieur (m/w) für Zentrifugen im Aftermarket Krefeld
BORSIG Membrane Technology GmbH-Firmenlogo
BORSIG Membrane Technology GmbH Projektingenieur/-in im verfahrenstechnischen Anlagenbau Rheinfelden
über KÖNIGSTEINER AGENTUR GmbH-Firmenlogo
über KÖNIGSTEINER AGENTUR GmbH Geschäftsführer (m/w) in der Kunststoffbranche neue Bundesländer