Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
iMessage-Schwachstelle ermöglicht Zugriff auf alle Nachrichten im Klartext

11.04.2016

 zur Newsdatenbank home

Es gibt einen Exploit, mit dem ein Zugriff auf die iMessage-Datenbank einer Zielperson ermöglicht wird, ohne dafür "Verschlüsselung knacken zu müssen". Diesen Exploit haben Sicherheitsforscher veröffentlicht. Der Proof of Concept nutzt eine Schwachstelle in der Nachrichten-App von OS X und wurde auf GitHub bereitgestellt.

Der Angreifer in der Lage, dem Opfer einen JavaScript-Link zu schicken, da das WebKit-basierte Programm beliebige URIs (Uniform Resource Identifier) in anklickbare Links verwandelt.

Der Sender kann so die komplette Nachrichten-Datenbank des Nutzers auf einen eigenen Server hochladen, sobald der Empfänger den Link anklickt. Die Entwickler der Sicherheitsfirma Bishop Fox erklären, dass diese im Klartext vorliegt und zudem sämtliche Anhänge sowie – je nach Konfiguration – SMS-Nachrichten enthält.

Die Sicherheitsforscher schreiben zur aktuellen Diskussion um Ende-zu-Ende-Verschlüsselung, dass "simple Schwachstellen auf Programmebene in Vergessenheit zu geraten scheinen". Es reiche etwas Basiswissen zu JavaScript, um diese Schwachstelle auszunutzen.

Nachdem die Sicherheitsforscher Apple darüber in Kenntnis gesetzt haben, hat der Konzern die Schwachstelle (CVE-2016-1764) in OS X 10.11.4 im März geschlossen. Falls das Update noch nicht installiert wurde, sollten Nutzer dies umgehend nachholen.

Der Fix ist nach den Veröffentlichungsnotizen des Mac-Herstellers allerdings nur für OS X 10.11 El Capitan. Es bleibt vorerst unklar, ob die Lücke in OS X 10.9 Mavericks und OS X 10.10 Yosemite – trotz Installation des jüngsten Sicherheits-Updates 2016-002 – weiter besteht. Dieser Bug ist laut Bishop Fox auch in den älteren OS-X-Versionen zu finden.

Seit der Einführung des Kommunikationsdienstes setzt iMessage auf Ende-zu-Ende-Verschlüsselung und Apple ist nach eigener Angabe nicht in der Lage, die Kommunikation auszulesen. Allerdings gelangt die iMessage-Kommunikation über das automatisch aktivierte iCloud-Backup erneut auf Apples Servern – und dazu besitzt der Konzern den Schlüssel.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89