• IT-Karriere:
  • Services:

Apple: Lückenhafte iMessage-Verschlüsselung

Kryptographen haben eine Sicherheitslücke bei der Verschlüsselung des iMessage-Protokolls entdeckt. In der Praxis dürfte diese nur sehr schwer ausnutzbar sein, doch sie zeigt, dass das dahinterstehende Protokoll äußerst fragwürdig ist.

Artikel veröffentlicht am , Hanno Böck
Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels.
Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels. (Bild: Screenshot)

Apples iMessage war eines der ersten weit verbreiteten Messaging-Systeme mit eingebauter Ende-zu-Ende-Verschlüsselung. Sicherheitsforscher der Johns-Hopkins-Universität haben sich das System genauer angesehen und dabei eine Sicherheitslücke entdeckt. Der vorgestellte Angriff baut darauf, dass Apple keinen authentifizierten Verschlüsselungsmodus benutzt und verwendet ein neuartiges Oracle-Verfahren, das den verwendeten Kompressionsalgorithmus ausnutzt. Die Lücke praktisch auszunutzen, dürfte nur für sehr mächtige Angreifer praktikabel sein. Es zeigt sich aber, dass Apple beim Design des Protokolls einige Fehler gemacht hat. Mit dem gestrigen iOS-Update wurde ein Workaround bereitgestellt, dieser behebt allerdings das zugrunde liegende Problem nicht.

Keine authentifizierte Verschlüsselung und kein Forward Secrecy

Stellenmarkt
  1. CITTI Handelsgesellschaft mbH & Co. KG, Kiel
  2. TKI Automotive GmbH, Kösching, Ingolstadt

Entdeckt wurde der Angriff von Studenten des bekannten Kryptographen Matthew Green. In seinem Blog erläutert Green den Angriff, ein detailliertes Paper wurde ebenfalls veröffentlicht.

Das Verschlüsselungssystem von iMessage ist nicht öffentlich dokumentiert. Die Firma Quarkslab hatte jedoch 2013 das Protokoll mittels Reverse Engineering analysiert. iMessage verschlüsselt zunächst mittels RSA im OAEP-Modus einen symmetrischen Schlüssel, anschließend wird die eigentliche Nachricht mit diesem Schlüssel und dem AES-Verfahren im Counter-Modus verschlüsselt. Außerdem wird die verschlüsselte Nachricht mittels ECDSA signiert.

Zunächst einmal ist auffällig, dass dieses Verfahren keine Forward-Secrecy-Eigenschaft hat. Bei modernen Verschlüsselungsprotokollen gilt dies eigentlich heutzutage als selbstverständlich. Für den Angriff relevant ist jedoch etwas anderes: Der Counter-Mode ist kein authentifizierter Verschlüsselungsmodus. Nachrichten im Counter-Modus können durch einen Angreifer bitweise manipuliert werden, man spricht in der Kryptographie in solchen Fällen von "Malleability".

Verhindert werden soll die Manipulation von Nachrichten durch die Signatur. Doch genau das funktioniert nicht. Denn ein Angreifer kann schlicht eine bestehende Nachricht abfangen und mit einer eigenen gültigen Signatur eines anderen Accounts versehen.

Das allein ermöglicht noch keinen Angriff, damit könnte man lediglich eine Nachricht eines anderen erneut verschicken. Doch nun hat der Angreifer zumindest die Möglichkeit, dem Opfer eine Nachricht unterzujubeln, von der er zwar den Inhalt nicht kennt, die er aber gezielt manipulieren kann.

Orakel nutzt Gzip-Kompression aus

Um etwas über den Inhalt der Nachricht zu erfahren, kommt nun ein Orakel zum Einsatz. Die Nachrichten werden vor der Verschlüsselung mit dem Gzip-Verfahren komprimiert. Über das gezielte Einschleusen von Fehlern kann der Angreifer etwas über den Inhalt der Nachricht erfahren, allerdings muss er dafür wissen, ob eine manipulierte Nachricht vom Zielsystem erfolgreich dekomprimiert wurde. Ähnliche Orakel-Angriffe gab es in der Vergangenheit schon häufiger in anderen Zusammenhängen, allerdings ist es das erste Mal, dass hierfür eine Kompression ausgenutzt wird. Frühere Angriffe nutzten dafür etwa Padding-Mechanismen (Lucky Thirteen, Bleichenbacher-Angriffe) oder Zeichencodierungen.

Damit der Orakel-Angriff funktioniert, muss der Angreifer jedoch wissen, ob die Dekomprimierung auf dem Zielsystem fehlschlägt oder nicht. Bei normalen iMessage-Nachrichten ist das nicht der Fall, der Angreifer erhält keinerlei Rückmeldung. Doch wenn Bilder oder andere Anhänge über iMessage verschickt werden wird der Angriff möglich. In dem Fall wird ein verschlüsselter AES-Schlüssel als Nachricht zusammen mit einer URL verschickt, üblicherweise werden die eigentlichen Daten dann auf icloud.com abgelegt.

Da die Nachricht manipulierbar ist, kann ein Angreifer die URL des Anhangs durch eine eigene URL ersetzen. Damit erhält der Angreifer die Rückmeldung, die für den Orakel-Angriff nötig ist. Wird eine Nachricht erfolgreich dekomprimiert, ruft das Zielsystem die URL auf. Schlägt die Dekomprimierung fehl, erfolgt kein Zugriff auf die URL.

Der gesamte Angriff dauert in der vorgestellten Form etwa 70 Stunden und es müssen circa 250.000 Nachrichten an das Opfer geschickt werden. Matthew Green geht aber davon aus, dass sich dies weiter optimieren lässt.

Transportverschlüsselung und Key Pinning

Eine weitere Hürde dürfte den Angriff in der Praxis meistens verhindern: Die iMessage-Nachrichten sind nicht nur selbst verschlüsselt, für die Kommunikation zwischen den Apple-Servern und den Clients kommt zusätzlich eine Transportverschlüsselung zum Einsatz. Theoretisch wäre es denkbar, dass ein Angreifer sich durch die Kompromittierung einer Zertifizierungsstelle ein gültiges Zertifikat für die Apple-Server verschafft, doch unter iOS 9 wird auch das verhindert. Apps wie iMessage nutzen Key Pinning, um Verbindungen mit unberechtigt ausgestellten Zertifikaten zu verhindern.

Praktisch durchführbar ist der Angriff also bei modernen Systemen nur, wenn jemand direkt Zugriff auf Apples Server hat. Das dürfte in den wenigsten Fällen praktikabel sein. Doch genau das ist eigentlich das Versprechen einer Ende-zu-Ende-Verschlüsselung: Dass selbst der Betreiber eines Services nicht in der Lage ist, die Verschlüsselung anzugreifen.

Schlechtes Protokolldesign

Das iMessage-Protokoll wirkt aus kryptographischer Sicht alles andere als solide. In modernen Protokollen werden zur symmetrischen Verschlüsselung üblicherweise authentifizierte Verschlüsselungsmodi wie GCM oder Poly1305 eingesetzt. Diese sorgen dafür, dass eine Nachricht nicht nur verschlüsselt wird, sondern auch die Echtheit einer Nachricht durch den Schlüssel gewährleistet ist. Manipulationen der Nachricht sind damit nicht mehr möglich, da jede manipulierte Nachricht bereits bei der Entschlüsselung entdeckt und verworfen wird.

Apples Gegenmaßnahme wirkt aus dieser Sicht eher fragwürdig. Der Angriff wird künftig verhindert, indem iMessage den Teil der Nachricht, in dem sich der RSA-verschlüsselte AES-Key befindet, auf Doppelungen prüft. Wenn mehrere Nachrichten ankommen, die mit dem selben AES-Schlüssel verschlüsselt sind, werden diese verworfen. Dadurch wird der konkrete Angriff verhindert, das Protokolldesign wirkt aber weiterhin sehr fragil. Konstruktionsmängel wie die fehlende Forward-Secrecy-Eigenschaft bestehen natürlich auch weiterhin.

Matthew Green scheint ebenfalls nicht sehr glücklich mit dieser Lösung. Langfristig solle Apple iMessage am besten vergessen und stattdessen Signal mit dem Axolotl-Protokoll nutzen, meint Green.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Star Wars: Der Aufstieg Skywalkers für 28,99€, Die Eiskönigin 2 für 19,99€, Parasite...
  2. (u. a. Transcend 430S 512GB SSD für 68,99€, Transcend 960GB SSD extern für 185,99€, Transcend...
  3. (aktuell u. a. Emtec T700 Lightning > USB-A 1,2m für 8,89€, Emtec T650C Type-C Hub für 36...

matty3d 26. Mär 2016

Jobs war ja noch innovativ, aber seit der tot ist scheint Apple nur noch zu einer...

nakamura 23. Mär 2016

Facepalm.

JarJarThomas 22. Mär 2016

Weil es DAMALS nicht existierte

masel99 22. Mär 2016

Wenn man Zugriff auf die Apple-Server hat kann man noch ganz andere Dinge... Natürlich...

immatoll 22. Mär 2016

Der zweite Kommentar von jemanden der nur Überschriften lesen kann... Herrlich diese...


Folgen Sie uns
       


Digitale Assistenten singen Weihnachtslieder (ohne Signalworte)

Wir haben Siri, den Google Assistant und Alexa aufgefordert, uns zu Weihnachten etwas vorzusingen.

Digitale Assistenten singen Weihnachtslieder (ohne Signalworte) Video aufrufen
Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

Geforce Now im Test: Nvidia nutzt einzigartige CPU und GPU
Geforce Now im Test
Nvidia nutzt einzigartige CPU und GPU

Wer mit Nvidias Geforce Now spielt, bekommt laut Performance Overlay eine RTX 2060c oder RTX 2080c, tatsächlich aber werden eine Tesla RTX T10 als Grafikkarte und ein Intel CC150 als Prozessor verwendet. Die Performance ist auf die jeweiligen Spiele abgestimmt, vor allem mit Raytracing.
Ein Test von Marc Sauter

  1. Cloud Gaming Activision Blizzard zieht Spiele von Geforce Now zurück
  2. Nvidia-Spiele-Streaming Geforce Now kostet 5,49 Euro pro Monat
  3. Geforce Now Nvidias Cloud-Gaming-Dienst kommt noch 2019 für Android

Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

    •  /