In den USA hat eine Gruppe von Sicherheitsforschern der Johns-Hopkins-Universität eine Schwachstelle in der Verschlüsselung des Apple-Instant-Messaging-Dienstes iMessage gefunden. Krypto-Schlüssel für einzelne Dateien lassen sich über einen Brute-Force-Angriff erraten. Krypto-Professor Matt Green, der die wissenschaftliche Arbeit beaufsichtigt hat, meinte gegenüber der Washington Post, der Angriff sei aufgrund des Aufwands allerdings nur für Geheimdienste praktikabel.

Die Forscher untersuchten eine ältere Version des iOS-Systems und gaben sich als Apple-Server gegenüber einem iPhone aus. Die Schwachstelle ist, dass das iPhone nichts dagegen unternimmt, dass einzelne Stellen des 64-stelligen Krypto-Schlüssels für eine Datei erraten werden können. Wenn die Forscher bei einer einzelnen Stelle richtig geraten hatten und das iPhone einzelne Stellen des Schlüssels akzeptierte, konnten sie so den kompletten Krypto-Schlüssel zusammenfügen.

Bereits in iOS 9.2 soll der Fehler teilweise behoben sein, mit dem erschienenen iOS 9.3 ist die Lücke endgültig geschlossen. Unklar blieb, ob der Angriff auch auf dem Mac funktioniert.

Nachdem Green Apples Dokumentation der iMessage-Kryptofunktionen studiert hatte, vermutete er bereits die Möglichkeit eines solchen Angriffs. Bereits 2015 wies er Apple auf die Lücke hin. Zusammen mit seinen Studenten entwickelte er, nachdem die Lücke ein paar Monate später noch nicht geschlossen wurde, einen Angriff.

Dieser Fall zeigt, wie schwer es ist, Verschlüsselung wirklich wasserdicht hinzubekommen. Green betonte: "Selbst Apple mit allem in der Firma versammelten Können – und die haben hervorragende Kryptografen – hat es nicht geschafft, das ganz fehlerfrei hinzubekommen".

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE