Sicherheitslücke in iMessage-Verschlüsselung

Foto: CC-BY-SA 2.0 William Hook

Forscher der John Hopkins University haben eine Sicherheitslücke in der Verschlüsselung von Apples Messaging-Dienst „iMessage“ unter iOS gefunden. Bei dem Angriff handelt es sich um eine Brute-Force-Attacke, die sehr aufwändig sei. Ob sich die Lücke auch unter dem Desktop-Betriebssystem OS X ausnutzen lässt, ist bisher unbekannt.

Einer der Wissenschaftler sagte der Washington Post:

“Even Apple, with all their skills — and they have terrific cryptographers — wasn’t able to quite get this right,” said Green, whose team of graduate students will publish a paper describing the attack as soon as Apple issues a patch. “So it scares me that we’re having this conversation about adding back doors to encryption when we can’t even get basic encryption right.”

Unter iOS 9.2 sei der Fehler zumindest teilweise, unter dem vermutlich heute veröffentlichten iOS 9.3 endgültig behoben, meldet Heise.

No Tracking. No Paywall. No Bullshit.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Jetzt spenden


Jetzt spenden

3 Ergänzungen

  1. Ernst gemeinte Frage: Seit wann gelten Sicherheitsmechanismen, die sich in der Theorie mittels aufwändigem Brute Force aushebeln lassen, denn als Sicherheitslücke?

    1. Die Forscher konnten die Lücke praktisch ausnutzen. Auch wenn es aufwendig gewesen ist, der Angriff ist damit eben nicht nur theoretischer Natur und kann somit (finde ich) schon als Sicherheitslücke bezeichnet werden.

    2. heise.de scheibt:

      Die Schwachstelle besteht darin, dass das iPhone es zulässt, einzelne Stellen des 64-stelligen Krypto-Schlüssels für eine Datei zu erraten. Da das iPhone einzelne Stellen des Schlüssels akzeptierte, wenn die Forscher diese richtig geraten hatten, konnten sie so den kompletten Krypto-Schlüssel zusammenpuzzlen.

      Hierbei handelt es sich also um mehr als nur einfaches Bruteforce.

Ergänzung an Markus Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.