2189794

OS X 10.11.4 schließt Link-Lücke in iMessages

12.04.2016 | 11:45 Uhr |

Wer seinen Mac noch nicht auf OS X 10.11.4 aktualisiert hat, sollte dies schnellstmöglich nachholen. Aus Sicherheitsgründen.

Ende-zu-Ende-Verschlüsselung hat einen Haken: Zwar kann niemand aus abgefangenen Kommunikationsdaten aus deren Inhalte schließen, solange die Verschlüsselung aktiv ist, erlangt man aber Zugriff auf eines der beteiligten oder angeschlossenen Geräte oder ein unverschlüsseltes Backup, hat man die Inhalte der Chats im Klartext vorliegen. Ebenso sind Schwachstellen in Programmen ein Einfallstor für das Belauschen vertraulicher Gespräche. Und hier ist auch iMessage potentiell gefährdet, erst mit OS X 10.11.4 konnte Apple eine Sicherheitslücke schließen, wie Heise berichtet .

Das Problem basierte auf der Fähigkeit von iMessage, beliebige URIs in anklickbare Links zu verwandeln. So sei es Angreifern möglich gewesen, Opfern einen JavaScript-Link zu schicken. Klickten sie diesen an, lud sich die iMessage-Datenbank auf den Server des Angreifers – mit allen Chats und darin verschickten Fotos und Dateien im Klartext. Apple hatte von der Sicherheitslücke Bescheid bekommen, bevor ihre Entdecker einen Proof-of-Concept auf GitHub veröffentlichten, die CVE-2016-1764 genannte Schwachstelle ist mit dem Update auf OS X 10.11.4 geschlossen. Wer das Update aus irgendwelchen Gründen noch nicht installiert hat, sollte dies unverzüglich nachholen. Die Lücke haben die Sicherheitsexperten von Bishop Fox, einer IT-Sicherheitsfirma aus den USA, entdeckt.

Mehr Sicherheit für iMessages

Apple wird aber auch noch an anderen Stellen an der Sicherheit von iMessages schrauben müssen. In der letzten Woche hat die Facebook-Tochter WhatsApp mit der Ende-zu-Ende-Verschlüsselung für den populären Messenger überrascht . iMessages verschlüsselt Chats ja schon länger, auch ein Grund, warum Apple bei FBI, DEA und Konsorten nicht besonders wohl gelitten ist. Doch geht WhatsApp einige Schritte weiter als Apple, legt unser Macworld-Kollege Glenn Fleishman dar. Zum einen ist der Messenger nicht auf eine Plattform beschränkt, zum anderen ist mit dem gegenseitigen Austausch von Schlüsseln jedwede Man-in-the-middle-Attacke unterbunden. Bei iMessages besteht zudem die Gefahr, dass ihre Inhalte aus weniger stark verschlüsselten iCloud-Backups sich wieder herstellen ließen. Apple könne aber aus den Sicherheitsvorkehrungen bei WhatsApp lernen und ähnliche in künftige Systeme einbauen. Auch auch Google müsse seine Verschlüsselungssysteme entsprechend verbessern. Perfekt ist indes WhatsApp auch nicht, Metadaten sind nicht verschlüsselt. Lauscher mit oder ohne Behördenauftrag könnten also herausfinden, wer wann mit wem wie lange kommuniziert hat.

0 Kommentare zu diesem Artikel
2189794