Offenbar gibt es eine Sicherheitslücke in iMessage, die schon seit Beginn existiert. Studenten der Johns Hopkins Universität haben sie entdeckt und konnten sie ausnutzen. Dem FBI hätte die Lücke zwar vermutlich nicht geholfen, aber behoben wird sie trotzdem, in iOS 9.3, das heute erscheinen soll.
Wie die Washington Post berichtet, ist es Studenten der Johns Hopkins Universität gelungen, die Sicherheit von iMessage auszuhebeln. Dabei geht es weniger um Daten, die bereits in iCloud oder auf dem iPhone gespeichert sind, als viel mehr um Daten, die versendet werden sollen. Die Studenten haben dafür einen Fake-iMessage-Server aufgebaut und ihn Nachrichten auf das iPhone senden lassen. Nur wenn der Key für die Verschlüsselung richtig war, hat das iPhone die Nachricht akzeptiert – und so kann man, wenn man genügend Zeit hat, den richtigen Server-Key per Bruteforce erraten.
Fehler wird in iOS 9.3 behoben
Wie Apple gegenüber der Washington Post mitteilt, hat man das Problem schon „teilweise“ in iOS 9 behoben, der komplette Fix wird in iOS 9.3 enthalten sein, das am heutigen Montag erscheinen wird. Apple schätze es sehr, dass Entwickler und Forscher das Sicherheitskonzept unter die Lupe nehmen und dem Unternehmen dabei helfen, bei der Sicherheit immer einen Schritt vor den anderen zu sein, so Apple.
Matthew D. Green, ein Informatik-Professor an der Johns Hopkins Universität, der die Gruppe und das Projekt geleitet hat, wandte sich schon früh an Apple und meldete die mögliche Sicherheitslücke. Nach Monaten, in denen sich nichts an dem Problem geändert hat, fing er an, weiter zu forschen, bis schließlich der Fake-Server lief und das iPhone die Nachrichten akzeptierte.