Seit dem PRISM-Skandal ist Sicherheit wieder ein wichtiges Thema. Daher erhielte Sicherheitsforscher, die auf der Hack the Box Konferenz in Kuala Lumpur behaupteten, Apple könne auf den Inhalt von iMessages zugreifen, einiges an Aufmerksamkeit.
Apple kann die iMessages entschlüsseln
Um die Sicherheit von iMessages zu gewährleisten, nutzt Apple eine Verschlüsselung mit öffentlichen Schlüsseln. Das bedeutet, dass beim Versenden einer iMessage diese mittels eines öffentlichem Schlüssels verschlüsselt wird. Diese Verschlüsselung wird dann von Empfänger mit einem privaten Schlüssel wieder zu lesbarem Text gemacht.
Cyril Cattiaux, der Jailbreak Software entwickelt und für die Sicherheitsfirma Quarkslab arbeitet, sagte, Apple würde „schlicht und einfach lügen“, wenn das Unternehmen behauptet, dass iMessages von einer absolut sicheren Verschlüsselung geschützt werden.
Die öffentlichen Schlüssel werden von Apple verwaltet. Daher ist es für den User nicht möglich, sicher zu sein, dass seine iMessage auch an den richtigen Empfänger ging. Theoretisch könnte öffentliche Schlüssel austauschen, um so iMessages abzufangen. Normalerweise werden die öffentlichen Schlüssel in solchen Verfahren auf frei zugänglichen Servern gespeichert. So hat der User Zugriff auf viel mehr Informationen. Apples Server jedoch ist nicht öffentlich zugänglich. „The biggest problem here is you just cannot control that the public key you are using when you are ciphering the message is really the key of your recipient and not, for example, the public key of some guy in Apple“, sagte Cattiaux.
Laut den Experten gibt es für den User keinen Weg, über sein iOS-Gerät zu verifizieren, ob die gesendete iMessage auch an den Empfänger geht. Die Lösung wäre echte end-to-end-Verschlüsselung, bei der die öffentlichen Schlüssel auf den Geräten gespeichert werden. „“As Apple claims, there is end-to-end encryption. The weakness is in the key infrastructure as it is controlled by Apple: They can change a key anytime they want, thus read the content of our iMessages“, so die Experten von Quarklabs. Die Forscher betonten aber auch, dass sie keine Hinweise darauf hätten, dass Apple tatsächlich diesen Schwachpunkt auch nutzt.
Apples Statement: Wir können nicht auf die Nachrichten zugreifen
Apple-Sprecherin Trudy Müller sagte reagierte in einem Statement gegenüber AllThingsD auf die Vorwürfe. „iMessage is not architected to allow Apple to read messages. The research discussed theoretical vulnerabilities that would require Apple to re-engineer the iMessage system to exploit it, and Apple has no plans or intentions to do so.“ Mit anderen Worten: Das iMEssage-System ist nicht darauf ausgelegt, Zugriff auf die Nachrichten zu ermöglichen. Eher im Gegenteil.
Seit dem Prism-Skandal allerdings ist das Vertrauen in die Statements von Unternehmens-Sprechern allerdings etwas gesunken. „We’ve recently seen indication of companies like Skype or Lavabit being forced to enable interception capabilities in their system, so it would be naive to think that Apple wasn’t at least approached by the government at some point“, sagte der Sicherheitsexperte Ashkan Soltani gegenüber AllThingsD. Unser Vertrauen in die Verschlüsselung der iMessages reicht wohl nur soweit, wie unser Vertrauen in Apple reicht.
Alle Provider können SMS ihrer Kunden lesen. Skandal!
Na dann: am besten schreiben alle IPhone Nutzer denen die Größe des IPhones gefällt möglichst viele IMessages an Freunde, in denen sie immer wieder bekräftigen wie ätzend sie es finden würden, wenn das IPhone größer wird. Wenn das dann tatsächlich von Apple gelesen wird, dann wirds vielleicht verhindert. ;-)
Aber dazu mal im Ernst: natürlich sind wir inzwischen weitgehend abgestumpft. Viele denken halt: ich hab ja nix zu verbergen. Allerdings hat Herr Mollath in Bayern auch mal gedacht, er hätte was Gutes getan, als er die Machenschaften von Bank und Politik publik gemacht hat.
Leider geht die Abstumpfung auch aus Bequemlichkeit auch so weit, dass sich die meisten viel zu wenig damit beschäftigen, wie sie den Datenmissbrauch durch Provider, Portale wie auch Google, Facebook und Whats app usw. usw., für sich nutzen können, wenn es schon nicht mehr möglich ist, sich davor zu schützen.
Nachtrag: einen geplanten Amoklauf im Bundestag wenn der Zeitpunkt gekommen ist, dass Lebenslänglich für mich absehbar ist, werde ich dann bestimmt nicht über IMessage mitteilen.