Abo
  • Services:

Apple: Lückenhafte iMessage-Verschlüsselung

Kryptographen haben eine Sicherheitslücke bei der Verschlüsselung des iMessage-Protokolls entdeckt. In der Praxis dürfte diese nur sehr schwer ausnutzbar sein, doch sie zeigt, dass das dahinterstehende Protokoll äußerst fragwürdig ist.

Artikel veröffentlicht am , Hanno Böck
Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels.
Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels. (Bild: Screenshot)

Apples iMessage war eines der ersten weit verbreiteten Messaging-Systeme mit eingebauter Ende-zu-Ende-Verschlüsselung. Sicherheitsforscher der Johns-Hopkins-Universität haben sich das System genauer angesehen und dabei eine Sicherheitslücke entdeckt. Der vorgestellte Angriff baut darauf, dass Apple keinen authentifizierten Verschlüsselungsmodus benutzt und verwendet ein neuartiges Oracle-Verfahren, das den verwendeten Kompressionsalgorithmus ausnutzt. Die Lücke praktisch auszunutzen, dürfte nur für sehr mächtige Angreifer praktikabel sein. Es zeigt sich aber, dass Apple beim Design des Protokolls einige Fehler gemacht hat. Mit dem gestrigen iOS-Update wurde ein Workaround bereitgestellt, dieser behebt allerdings das zugrunde liegende Problem nicht.

Keine authentifizierte Verschlüsselung und kein Forward Secrecy

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Entdeckt wurde der Angriff von Studenten des bekannten Kryptographen Matthew Green. In seinem Blog erläutert Green den Angriff, ein detailliertes Paper wurde ebenfalls veröffentlicht.

Das Verschlüsselungssystem von iMessage ist nicht öffentlich dokumentiert. Die Firma Quarkslab hatte jedoch 2013 das Protokoll mittels Reverse Engineering analysiert. iMessage verschlüsselt zunächst mittels RSA im OAEP-Modus einen symmetrischen Schlüssel, anschließend wird die eigentliche Nachricht mit diesem Schlüssel und dem AES-Verfahren im Counter-Modus verschlüsselt. Außerdem wird die verschlüsselte Nachricht mittels ECDSA signiert.

Zunächst einmal ist auffällig, dass dieses Verfahren keine Forward-Secrecy-Eigenschaft hat. Bei modernen Verschlüsselungsprotokollen gilt dies eigentlich heutzutage als selbstverständlich. Für den Angriff relevant ist jedoch etwas anderes: Der Counter-Mode ist kein authentifizierter Verschlüsselungsmodus. Nachrichten im Counter-Modus können durch einen Angreifer bitweise manipuliert werden, man spricht in der Kryptographie in solchen Fällen von "Malleability".

Verhindert werden soll die Manipulation von Nachrichten durch die Signatur. Doch genau das funktioniert nicht. Denn ein Angreifer kann schlicht eine bestehende Nachricht abfangen und mit einer eigenen gültigen Signatur eines anderen Accounts versehen.

Das allein ermöglicht noch keinen Angriff, damit könnte man lediglich eine Nachricht eines anderen erneut verschicken. Doch nun hat der Angreifer zumindest die Möglichkeit, dem Opfer eine Nachricht unterzujubeln, von der er zwar den Inhalt nicht kennt, die er aber gezielt manipulieren kann.

Orakel nutzt Gzip-Kompression aus

Um etwas über den Inhalt der Nachricht zu erfahren, kommt nun ein Orakel zum Einsatz. Die Nachrichten werden vor der Verschlüsselung mit dem Gzip-Verfahren komprimiert. Über das gezielte Einschleusen von Fehlern kann der Angreifer etwas über den Inhalt der Nachricht erfahren, allerdings muss er dafür wissen, ob eine manipulierte Nachricht vom Zielsystem erfolgreich dekomprimiert wurde. Ähnliche Orakel-Angriffe gab es in der Vergangenheit schon häufiger in anderen Zusammenhängen, allerdings ist es das erste Mal, dass hierfür eine Kompression ausgenutzt wird. Frühere Angriffe nutzten dafür etwa Padding-Mechanismen (Lucky Thirteen, Bleichenbacher-Angriffe) oder Zeichencodierungen.

Damit der Orakel-Angriff funktioniert, muss der Angreifer jedoch wissen, ob die Dekomprimierung auf dem Zielsystem fehlschlägt oder nicht. Bei normalen iMessage-Nachrichten ist das nicht der Fall, der Angreifer erhält keinerlei Rückmeldung. Doch wenn Bilder oder andere Anhänge über iMessage verschickt werden wird der Angriff möglich. In dem Fall wird ein verschlüsselter AES-Schlüssel als Nachricht zusammen mit einer URL verschickt, üblicherweise werden die eigentlichen Daten dann auf icloud.com abgelegt.

Da die Nachricht manipulierbar ist, kann ein Angreifer die URL des Anhangs durch eine eigene URL ersetzen. Damit erhält der Angreifer die Rückmeldung, die für den Orakel-Angriff nötig ist. Wird eine Nachricht erfolgreich dekomprimiert, ruft das Zielsystem die URL auf. Schlägt die Dekomprimierung fehl, erfolgt kein Zugriff auf die URL.

Der gesamte Angriff dauert in der vorgestellten Form etwa 70 Stunden und es müssen circa 250.000 Nachrichten an das Opfer geschickt werden. Matthew Green geht aber davon aus, dass sich dies weiter optimieren lässt.

Transportverschlüsselung und Key Pinning

Eine weitere Hürde dürfte den Angriff in der Praxis meistens verhindern: Die iMessage-Nachrichten sind nicht nur selbst verschlüsselt, für die Kommunikation zwischen den Apple-Servern und den Clients kommt zusätzlich eine Transportverschlüsselung zum Einsatz. Theoretisch wäre es denkbar, dass ein Angreifer sich durch die Kompromittierung einer Zertifizierungsstelle ein gültiges Zertifikat für die Apple-Server verschafft, doch unter iOS 9 wird auch das verhindert. Apps wie iMessage nutzen Key Pinning, um Verbindungen mit unberechtigt ausgestellten Zertifikaten zu verhindern.

Praktisch durchführbar ist der Angriff also bei modernen Systemen nur, wenn jemand direkt Zugriff auf Apples Server hat. Das dürfte in den wenigsten Fällen praktikabel sein. Doch genau das ist eigentlich das Versprechen einer Ende-zu-Ende-Verschlüsselung: Dass selbst der Betreiber eines Services nicht in der Lage ist, die Verschlüsselung anzugreifen.

Schlechtes Protokolldesign

Das iMessage-Protokoll wirkt aus kryptographischer Sicht alles andere als solide. In modernen Protokollen werden zur symmetrischen Verschlüsselung üblicherweise authentifizierte Verschlüsselungsmodi wie GCM oder Poly1305 eingesetzt. Diese sorgen dafür, dass eine Nachricht nicht nur verschlüsselt wird, sondern auch die Echtheit einer Nachricht durch den Schlüssel gewährleistet ist. Manipulationen der Nachricht sind damit nicht mehr möglich, da jede manipulierte Nachricht bereits bei der Entschlüsselung entdeckt und verworfen wird.

Apples Gegenmaßnahme wirkt aus dieser Sicht eher fragwürdig. Der Angriff wird künftig verhindert, indem iMessage den Teil der Nachricht, in dem sich der RSA-verschlüsselte AES-Key befindet, auf Doppelungen prüft. Wenn mehrere Nachrichten ankommen, die mit dem selben AES-Schlüssel verschlüsselt sind, werden diese verworfen. Dadurch wird der konkrete Angriff verhindert, das Protokolldesign wirkt aber weiterhin sehr fragil. Konstruktionsmängel wie die fehlende Forward-Secrecy-Eigenschaft bestehen natürlich auch weiterhin.

Matthew Green scheint ebenfalls nicht sehr glücklich mit dieser Lösung. Langfristig solle Apple iMessage am besten vergessen und stattdessen Signal mit dem Axolotl-Protokoll nutzen, meint Green.



Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

matty3d 26. Mär 2016

Jobs war ja noch innovativ, aber seit der tot ist scheint Apple nur noch zu einer...

nakamura 23. Mär 2016

Facepalm.

JarJarThomas 22. Mär 2016

Weil es DAMALS nicht existierte

masel99 22. Mär 2016

Wenn man Zugriff auf die Apple-Server hat kann man noch ganz andere Dinge... Natürlich...

immatoll 22. Mär 2016

Der zweite Kommentar von jemanden der nur Überschriften lesen kann... Herrlich diese...


Folgen Sie uns
       


Lenovo Mirage Solo und Camera - Test

Wir haben laut Lenovo "die nächste Generation VR" getestet. Tipp: Sie ist nicht so viel besser als die letzte.

Lenovo Mirage Solo und Camera - Test Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    •  /