iOS 9.3 schafft Abhilfe
Sicherheitsleck in iMessage legt Videos und Fotos frei
Obgleich Apple die starke Verschlüsselung seines Kurznachrichten-Dienstes iMessage im Laufe der letzten Jahre stets gesondert betonte, ist der Zugriff auf übertragene Videos und Bilder möglich.
Ein Umstand auf den nun ein Team von Sicherheitsforschern der in Baltimore ansässigen Johns Hopkins Universität aufmerksam macht und die von Apple implementieren Sicherheits-Algorithmen kritisiert. Nach Angaben der Security-Experten lassen sich per iMessage übertragene Medien-Inhalte von „qualifizierten Angreifern“ entschlüsseln.
Zwar setzt die Attacke ein Mitschneiden der Datenkommunikation zwischen dem iPhone und Apples Servern (bzw. einem nachgebauten Fake-Server) voraus, sobald der Zugriff auf den Datenstrom hergestellt ist, würden sich die Medien-Inhalte jedoch mit vergleichsweise einfachen Brute-Force-Methoden freilegen lassen.
Die Washington Post berichtet exklusiv:
To intercept a file, the researchers wrote software to mimic an Apple server. The encrypted transmission they targeted contained a link to the photo stored in Apple’s iCloud server as well as a 64-digit key to decrypt the photo. Although the students could not see the key’s digits, they guessed at them by a repetitive process of changing a digit or a letter in the key and sending it back to the target phone. Each time they guessed a digit correctly, the phone accepted it. They probed the phone in this way thousands of times.
iOS 9.3 stopft die Lücke
Nach Angaben der Forscher hat Apple den Fehler in der Haus-Verschlüsselung bereits behoben und wird das Datenleck mit der für heute geplanten iOS-Aktualisierung auf Version 9.3 wieder stopfen. Um ein entsprechendes Update für die Nachrichten-Anwendung auf dem Mac dürfte sich die anstehende OS X-Aktualisierung kümmern.
Header-Bild: Shutterstock
It’s not a bug, it’s a feature. Das ist vermutlich die Schnittstelle für die NSA. Die muss jetzt wohl angepasst werden.
Unter steve….wäre das nicht passiert!
Hat hier jemand Penisbilder gesagt?
X-D
Go Apple, noch nie hab ich solch ein Unternehmen wegen der Sicherheit gemocht, Apple übertrifft da etwas oder? Klärt mich auf wenn nicht. Gibt es noch Mobilfunkgeräte die so sicher sind wie iOS Geräte?
Ist das bei der letzten Public Beta gefixt worden? Kann jemand darüber Auskunft geben?
„bereits behoben“ ist gut. Die Lücke wurde 2015 an Apple gemeldet. Nachdem mehrere Monate vergangen waren, und Apple diese immer noch nicht geschlossen hatte, hat man den Angriff entwickelt. Mit 9.2 gab es wohl erste versuche die Lücke zu schließen, diese sind aber gescheitert. Tut doch bitte nicht so als ob Apple schnell auf solche Probleme reagiert.
Sie tun auch nicht so, sie berichten lediglich normal darüber! Also ganz ruhig Brauner!
„bereits“ suggeriert zumindest bei mir, das Apple relativ schnell gehandelt hat. Und das sehe ich nicht so. Ist zumindest meine Meinung.
„Adverb – 1. schon; 2. fast, nahezu, so gut wie“
http://www.duden.de/suchen/dud.....ts%20schon
im Bericht sind doch nirgends Datumsangaben gemacht worden.
Du liest es nur so, weil du die Daten dazu kennst.
PS: trotzdem danke für den Info-Zusatz. Gehört auf jeden Fall in den Artikel
es kommt immer drauf an wie man es liest. Ich kannte die Lücke nicht und die im Raum stehende Frage wann sie geschlossen wird beantwortet mir die Angabe: bereits mit dem kommenden iOS Update. Die Betas sind ja schon gelaufen und Apple muss nicht jetzt erst anfangen daran zu arbeiten.
Aber recht hast du auch. Apple ist da nicht sonderlich schnell unterwegs…
Also wie ich das Lese, hat Apple das Problem behoben aber noch nicht veröffentlicht. Steht ja da, sondern wir mit der Version 9.3 Veröffentlicht….
Vor wenigen Tagen kursierte in den sozialen Medien ein Video, wo sich das iPhone mittels Siri und der Weltuhr mit nur wenigen Schritten komplett entsperren lies.
So wie ich das in vielen Kommentaren gelesen hatte, schien das auch zu klappen. Dachte eigentlich auch, dass hier darüber berichtet wird, aber es kam nix. War das vielleicht sonst jemandem bekannt?!
In den Videos hat der Akteur stets vorher kaum merklich das iPhone mit seinen Finger in Hintergrund entsperrt. Achte mal drauf :)
Nein, das hat nie funktioniert! Ich und andere, die sauber testen können, wissen, dass dies eine unsinnige Aussage ist. Und selbst ein paar von denen, die unsauber testeten, erkannten später, dass ein Schritt unsauber war und deshalb auch bei ihnen das Entsperren über Siri nicht funktioniert. Leider wird es immer viel mehr wenig Intelligente geben, die diesen Schwachsinn felsenfest behaupten. Das ist diese sogenannte Schwarmintelligenz …
Also: Dies ist nur eine pure dumpfsinnige Unterstellung gewesen, weil derjenige zu dumm war die angegebenen Schritte sauber durchzuführen und nie einen registrierten Finger auf den Touch ID Knopf zu platzieren.
+,
Wieso steht die Fehlerbehebung nicht in der Beschreibung der Betas von 9.3?
Wie lange brauchen noch mal die Androiden im Vergleich dazu und ziehen dann auch wirklich alle Hersteller mit? Dort ist dauernd was von Sicherheitslecks zu lesen und wenn man ein 1,5 Jahre altes Gerät hat, bekommt man nicht mal mehr das neueste OS.
Google reagiert mit Stock Android relativ schnell, Patches kommen auch außer der Reihe ohne das man gleich eine neue Version ankündigen muss. In dem Fall hätte vielleicht sogar ein Update der App via PlayStore gereicht. Google lagert ja die meisten System-Apps (und einige System-Komponenten in den PlayStore aus). Google hätte allerdings mehr Einfluss auf Drittanbieter (Samsung, HTC, SOny …) nehmen müssen. Würden die ähnlich schnell (bzw überhaupt) patchen wie es Google macht wäre Android mit iOS gleichauf.
Schön wenn es Geräte gibt auf den ein Stock Android läuft. 99% eben nicht
Apple reagiert häufig recht langsam auf Sicherheitslücken, was aber auch eventuell damit zu tun hat, dass das Stopfen solcher eben auch seine Zeit und seine Tests braucht. Dennoch, bei all den Sicherheitslücken, besonders in letzter Zeit, braucht das FBI nicht wirklich eine Backdoor. iOS ist nun mal nicht sicher, wer sich das mal näher anschauen möchte, kann ja mal eine Veranstaltung einer IT Sicherheitsfirma besuchen. Das Apple durch seine Reden und sein Marketing aber häufig suggeriert, dass ihr System sicher sei, ist meiner Meinung nach ein Problem.
Dann würden bestimmte Firmen ja auch keine Virenscanner und Co mehr für iOS-Geräte mehr verkaufen können, wenn sie etwas anderes behaupten würden ;-).
Jeder weiß das nichts sicher ist. ABER es ist sicherer als die Konkurrenz Betriebsysteme. Und das geht auch bei vielen Vorträgen unter.
Rambo mich wundert die Aussage. Denn Laut dem BUndesamt für Sicherheit in der Informationstechnik ist iOS sicher. Auch Frauenhofer sagt sicher. Die einzige BSI Zertifizierten Lösungen basieren auf iOS. 80% der Firmengeräte weltweit sind iOS. Mit der Einführung der AppleSecurityEnclave hat sich die Lage drastisch geändert, so dass heute ein FBI und co bei Apple anklopfen weil Sie die AES256 Verschlüsselung von nem iPhone 5 nicht brechen können ohne die private Keys zu löschen. Da hat die Sicherheit Ihren Zweck erfüllt.
Zum Vergleich, nur 6% sind Android, davon grad mal 1% samsung und 0,3% Google Nativ. Für Android gibt es keine einzige Zertifizierung weltweit für Enterprise Einsatz.
Das sind nur die Fakten der letzten 5 Jahre!
Das taussende deutsche Apple IDs gehackt worden sind, ist wohl eher ein Aufreger.
Wohl eher durch dumne Nutzer = Phising Seiten.