Forscher der John Hopkins University haben eine Sicherheitslücke in der Verschlüsselung von Apples Messaging-Dienst „iMessage“ unter iOS gefunden. Bei dem Angriff handelt es sich um eine Brute-Force-Attacke, die sehr aufwändig sei. Ob sich die Lücke auch unter dem Desktop-Betriebssystem OS X ausnutzen lässt, ist bisher unbekannt.
Einer der Wissenschaftler sagte der Washington Post:
“Even Apple, with all their skills — and they have terrific cryptographers — wasn’t able to quite get this right,” said Green, whose team of graduate students will publish a paper describing the attack as soon as Apple issues a patch. “So it scares me that we’re having this conversation about adding back doors to encryption when we can’t even get basic encryption right.”
Unter iOS 9.2 sei der Fehler zumindest teilweise, unter dem vermutlich heute veröffentlichten iOS 9.3 endgültig behoben, meldet Heise.
Ernst gemeinte Frage: Seit wann gelten Sicherheitsmechanismen, die sich in der Theorie mittels aufwändigem Brute Force aushebeln lassen, denn als Sicherheitslücke?
Die Forscher konnten die Lücke praktisch ausnutzen. Auch wenn es aufwendig gewesen ist, der Angriff ist damit eben nicht nur theoretischer Natur und kann somit (finde ich) schon als Sicherheitslücke bezeichnet werden.
heise.de scheibt:
Hierbei handelt es sich also um mehr als nur einfaches Bruteforce.