iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel
   

iCloud Mails: Apple verschickt und empfängt im Klartext

Artikel auf Mastodon teilen.
55 Kommentare 55

In Heft 4/2013 übersehen, hat das Heise Security-Team jetzt auch die Datensicherheit bei Apples E-Mail-Dienst iCloud überprüft und informiert in diesem kurzen Eintrag über die Testergebnisse.

mail-500

Unterm Strich mussten die heise-Mitarbeiter feststellen, dass E-Mails von und zu Apples iCloud-Konten grundsätzlich im Klartext transportiert werden und attestieren Cupertino einen zumindest passiven Beitrag zur Datensammelwut der NSA:

Meta-Daten – und falls der Anwender nicht selbst verschlüsselt auch die Inhalte – dürften sich also ziemlich komplett in den Datenbanken der NSA finden.

Apple selbst hat zu den Testergebnissen keine Stellung bezogen, bedankt sich aber für den Hinweis und die „Vorschläge zur Verbesserung der Sicherheit“. Nach Angaben des Security-Teams nutzen alle anderen Mail-Anbieter die Option zur Transportweg-Verschlüsselung ihrer E-Mails.

icloud

Apple hingegen liefert neu versandte Mails grundsätzlich ohne Verschlüsselung bei den jeweiligen Empfängern ab. In der Bewertung des Tests heißt es:

[…] selbst wenn die empfangenden Mail-Server Verschlüsselung via starttls anboten, haben die Apple-Server diese Option bei unseren Tests nicht genutzt. Die für Adressen mit den charakteristischen Endungen @mac.com, @me.com und @icloud.com zuständigen Mail-Eingangs-Server (MX) bieten gar kein starttls an; ein Server, der eine Mail an eine solche Adresse loswerden will, muss die notgedrungen ebenfalls im Klartext abliefern. Wer E-Mail-Verkehr auf den Internet-Backbones einsammelt, hat bei Apples iCloud-Kunden also leichtes Spiel. […]

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
14. Feb 2014 um 13:01 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    55 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    • Ich denke, das Apple & Co. nicht anders dürfen, auch wenn sie ihren Kunden genau diese „Sicherheit“ verkaufen.
      Was ist mit dem iCloud Schlüsselbund und allen anderen Daten?

      • George, darum geht es nicht. Warum kapiertst du das denn nicht?

      • Es geht nicht um einzelne, sondern um ein Gesamtbild, dazu gehören auch unwichtige Personen wie du und ich.

      • Unwichtige Personen, die aber dann auch als unwichtig beachtet werden und im Papierkorb landen. Also kommt’s aufs gleiche raus, ihr seid uninteressant und braucht euch nicht aufzuregen. Mir ist die NSA lieber als irgendein Hacker der meine Daten abgreift.

      • na dann doch lieber gmail… beid anbieter (apple und google) svannen zwar den inhalt, aber bei google wirds wenigstens sicher übertragen.

      • Haha Sven da ist wäre mir die NSA lieber mit ihrem pseudosicherheirheitsanliegen als google die damit ihre Millionen macht.

      • Wer in einer Cloud, egal wo etwas speichert, der sollte von keiner Sicherheit ausgehen.
        Ich speichere in keiner Cloud etwas. Im Internet kann jeder alle mitlesen wenn er will. Ich betrachte das Internet wie ein Postkarte.

      • @george: bist du wirklich so selten dämlich?

  • Oh mein Gott, die NSA kann meine E-Mails lesen… Haben die auch deutschsprachige Mitarbeiter, oder jagen die meine Mails dann noch durch den google Übersetzer?!?

    • Die englischsprachigen NSA-Mitarbeiter haben auch grundlegende Deutschkenntnisse, können den Text also selber übersetzen. Bei Unklarheiten melden sie sich dann jeweils direkt bei dir (Anruf oder SMS).

  • Läuft die Kommunikation auch unverschlüsselt, wenn man die SSL-Ports in Mail definiert hat?

  • Jetzt ist auch klar, warum man bei Samsung ein leichtes Spiel hatte, das Layout von iPhone und iPad zu kopieren! Mangels Verschlüsselung hatten sie letztendlich Zugriff auf alle E-Mails der Apple-Entwickler und bestimtm auch Steve Jobs!!!1! ;)

  • In den Mail-Einstellungen ist SSL aktiviert. Hat das nix zu bedeuten?

  • …ist das in Bezug auf die NSA oder sonstige Spionagedienste denn überhaupt wichtig ? Wann kapiert es mal jeder, wenn ein Staat bzw ein Geheimdienst alles über dich wissen will, dann kann er das auch. liest deine Post, hört dich ab, weiss wer du bist und was du treibst. DAS liebe Leut ist ja auch deren Job und sie wären Stümper, wenn sie es nicht könnten. Und als Staatsbürger und Steuerzahler muss ich sagen, erwarte ich auch das unser Geheimdienst so effektiv wie möglich arbeitet und bei bedarf alles über jeden herausbekommt… es ist ja ein „Geheimdienst“ was bedeutet er soll ganz geheim, geheime Dinge tun und dabei auch Geheimnisse herausfinden. gell ?!

  • Hab mal ne frage!!! Wenn man ein neues Apple Produkt kauft bekommt man ja immer eine Email „Herzlichen Glückwunsch zur ihren neuen …..“ Ich hab mir Dezember 2 neu Produkte gekauft an die selbe Apple ID angemeldet und ein Backup gemacht aber keine Email bekommen?!?! Mein Kumpel aber schon!!! Was da soll kann mir das bitte einer sagen??? BITTE BITTE

  • Hier geht es natürlich NICHT um die Verschlüsselung zwischen Client (zB iPhone) und SMTP Server, sondern den Weitertransport Richtung Empänger (bzw Empfang von anderen Providern).
    Ist schon sehr schwach von Apple, aber jeder kann sich selbst mit S/MIME helfen. „Metadaten“ können aber natürlich auch dann abgeschnorchelt werden.

  • Von dem Umstand abgesehen, dass ich nicht weiss, ob die verschickten Daten über Mail verschlüsselt sind, muss ich gezwungner Maßen meinen Email-verkehr über iCloud am Browser organisieren, da Mail seit dem Update auf Maverick grundlegend nicht mehr funktioniert. Es hängt sich allein schon bei dem Wunsch eine Email schreiben zu wollen auf. Auch synchronisiert es nicht mehr.
    Hat jemand einen Vorschlag, welch‘ Alternative in bzgl. des Mac’s in Betacht kommt?
    Danke…

      • Sparrow nutze ich gerne in Verbund von Gmail-Adressen. Es ist besser als Thunderbird, weil es bei Adressangabe aus Adress- oder Kontaktbuch die E-Mail-Adressen automatisch zum ausfüllen anbietet. Aber es ist nur E-Mail. Wenn eine Integration mit Kalender und Unterstützung für Adressen mit Exchange wichtig sind, kommt man um Mail nicht drumherum (außer man kauft MS Office und dabei ist entweder Outlook oder Entourage).

    • Ein Problem kann sein, dass du irgendein Plugin/Addon in vorhergehender OS-Version (z.B. den OpenSource PGP-Plugin oder -Addon) in Mail installiert hattest.
      Zum Entfernen suche unter „~/Library“ oder global unter „/Library“ das entsprechende Verzeichnis für Plugins im Ordner von Mail (weiß nicht genau, wie es heißt, aber findet man leicht entweder selbst oder mit Hilfe von Google).

  • was macht verschluesselung fuer einen sinn, da die nsa sowieso alle knackt…!!!

    • Zunächst könnte dann nicht jeder Hajopei die Daten einfach im Klartext abgreifen.
      Zum Knacken von Verschlüsselungen mal ganz allgemein: Insofern die Schlüssel nicht irgendwo extern auf Servern liegen und dort geholt werden können (End-To-End), ist die NSA durchaus nicht so ohne Weiteres in der Lage, eine Verschlüsselung mal eben zu knacken. Sowas braucht unter Umständen RICHTIG FETT Rechenpower! (sprich: Zeit!)
      Wäre so gut wie jede Kommunikation in z.B. Deutschland EndToEnd-Verschlüsselt, dann würde allein die Menge, der zu knackenden Datenströme, ein flächendeckendes Ausschnüffeln vereiteln.
      Darüber sollte man sich mal ein paar Gedanken machen. ;(

  • Hallo iFun,
    der Artikel ist eigentlich nicht ganz verständlich.
    Was ist genau nicht verschlüsselt?
    Als Exempel: Wenn man eine iCloud-Mail schreibt und verschickt, dann ist doch die Kommunikation zwischen Client und Server verschlüsselt. Erst danach ist die E-Mail (eigentlich natürlich) in Klartext vom Versandserver zum Empfängerserver, oder?

    • Nicht verschlüsselt ist der Versandt vom Apple Mailserver an den nächsten Mailserver. Dürfte für die meisten Leute irrelevant sein.

      • Für mich ist das vollkommen egal, weil das eigentlich bezüglich E-Mail sowieso Standard ist und ich deshalb nie erwarte, dass E-Mails durchgehend verschlüsselt von Absender zu Empfänger gehen. Besonders ist das jedenfalls daher für mich nicht, solange sauber zwischen Server und Client verschlüsselt wird und somit die Zugangsdaten zur Apple ID für fast jeden lesbar sind.

      • Wenn etwas sicher sein soll, nutzt man PGP/GPG. Oder S/MIME …

  • Weiß zufällig jemand, wie es im Vergleich zu iCloud denn bei Gmail läuft? Wäre das die besser Mail-Alternative?

    • lesen und verstehen ;)

      hier heise:
      Alles in allem haben sich im c’t-Test nur Microsofts Outlook.com und der Mini-Provider aikQ im c’t-Test ähnlich gravierende Patzer geleistet. Alle anderen Mail-Anbieter nutzten die Option zum Verschlüsseln von E-Mails auf dem Transportweg. Auf das gestern erfolgte Angebot, diesen Sachverhalt zu kommentieren, antwortete die Pressestelle gar nicht und das Security-Team nur mit einem lapidaren „Danke, für die Vorschläge zur Verbesserung der Sicherheit“. Die Frage, ob Apple an einer Verbesserung der Situation arbeitet, blieb unbeantwortet.

      und jetzt schau mal in deine apple-tabelle… da steht : branchenüblich.

      was mal wieder einfach nur gelogen ist.

      • Sven, da hast du nicht richtig gelesen. Da steht kein Wort über die Weitersendung der Mails. Branchenüblich unverschlüsselt sind die Mails AUF dem Server. Es kann also ein Apple Admin alles lesen aber das ist wirklich bei allen Internet Providern so.

  • Beitrag angeschaut mit iPad Retina und in den App Store entführt worden – auf den Beitrag von Empire 4 Kingdoms“

  • Wieso kommentiert iphone-ticker die Meldung nicht?!?!?!?!?

  • Das ist doch alles unwichtig. Ob jetzt meine Mails auf dem Weg zu Apple verschlüsselt sind oder nicht. Sie landen unverschlüsselt auf dem Server von Apple, Gmail, T-online, GMX, Webmail usw.

    Und spätestens dort werden die Geheimdienste ihre Schnittstellen haben und sich die Mails durchlesen.

    Es ist doch nur ein erster Schritt, das der Nachbar nicht mehr per Sniffer, meine Mails mitlesen kann, aber Sicherheit geht anders.

    End-to-End Verschlüsselung per Zertifikat und S-Mime oder PGP und konsorten oder per Verschlüsselungssoftware auf dem PC und Entschlüsselungssoftware beim Empfänger.

    Zudem nutzt es mir nix, wenn ich per SSL hochlade, der Empfänger eine Pappnase ist und ohne SSL abruft….

    Bei Cacert.org gibt es übrigens kostenlose Zertifikate, Class 1 und Class 3 und Serverzertifikate usw….

    Ich habe damit meine Mails auf dem iPhone per S-Mime verschlüsselt und signiert, leider habe ich nur wenige die auch verschlüsseln können, weil kaum einer Zertifikate nutzt.

    ist aber wie threema, gute Sache, nur nutzt es kaum einer.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven