Abo
  • IT-Karriere:

Apple: Lückenhafte iMessage-Verschlüsselung

Kryptographen haben eine Sicherheitslücke bei der Verschlüsselung des iMessage-Protokolls entdeckt. In der Praxis dürfte diese nur sehr schwer ausnutzbar sein, doch sie zeigt, dass das dahinterstehende Protokoll äußerst fragwürdig ist.

Artikel veröffentlicht am , Hanno Böck
Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels.
Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels. (Bild: Screenshot)

Apples iMessage war eines der ersten weit verbreiteten Messaging-Systeme mit eingebauter Ende-zu-Ende-Verschlüsselung. Sicherheitsforscher der Johns-Hopkins-Universität haben sich das System genauer angesehen und dabei eine Sicherheitslücke entdeckt. Der vorgestellte Angriff baut darauf, dass Apple keinen authentifizierten Verschlüsselungsmodus benutzt und verwendet ein neuartiges Oracle-Verfahren, das den verwendeten Kompressionsalgorithmus ausnutzt. Die Lücke praktisch auszunutzen, dürfte nur für sehr mächtige Angreifer praktikabel sein. Es zeigt sich aber, dass Apple beim Design des Protokolls einige Fehler gemacht hat. Mit dem gestrigen iOS-Update wurde ein Workaround bereitgestellt, dieser behebt allerdings das zugrunde liegende Problem nicht.

Keine authentifizierte Verschlüsselung und kein Forward Secrecy

Stellenmarkt
  1. SOPAT GmbH, Berlin
  2. Scheidt & Bachmann GmbH, Mönchengladbach

Entdeckt wurde der Angriff von Studenten des bekannten Kryptographen Matthew Green. In seinem Blog erläutert Green den Angriff, ein detailliertes Paper wurde ebenfalls veröffentlicht.

Das Verschlüsselungssystem von iMessage ist nicht öffentlich dokumentiert. Die Firma Quarkslab hatte jedoch 2013 das Protokoll mittels Reverse Engineering analysiert. iMessage verschlüsselt zunächst mittels RSA im OAEP-Modus einen symmetrischen Schlüssel, anschließend wird die eigentliche Nachricht mit diesem Schlüssel und dem AES-Verfahren im Counter-Modus verschlüsselt. Außerdem wird die verschlüsselte Nachricht mittels ECDSA signiert.

Zunächst einmal ist auffällig, dass dieses Verfahren keine Forward-Secrecy-Eigenschaft hat. Bei modernen Verschlüsselungsprotokollen gilt dies eigentlich heutzutage als selbstverständlich. Für den Angriff relevant ist jedoch etwas anderes: Der Counter-Mode ist kein authentifizierter Verschlüsselungsmodus. Nachrichten im Counter-Modus können durch einen Angreifer bitweise manipuliert werden, man spricht in der Kryptographie in solchen Fällen von "Malleability".

Verhindert werden soll die Manipulation von Nachrichten durch die Signatur. Doch genau das funktioniert nicht. Denn ein Angreifer kann schlicht eine bestehende Nachricht abfangen und mit einer eigenen gültigen Signatur eines anderen Accounts versehen.

Das allein ermöglicht noch keinen Angriff, damit könnte man lediglich eine Nachricht eines anderen erneut verschicken. Doch nun hat der Angreifer zumindest die Möglichkeit, dem Opfer eine Nachricht unterzujubeln, von der er zwar den Inhalt nicht kennt, die er aber gezielt manipulieren kann.

Orakel nutzt Gzip-Kompression aus

Um etwas über den Inhalt der Nachricht zu erfahren, kommt nun ein Orakel zum Einsatz. Die Nachrichten werden vor der Verschlüsselung mit dem Gzip-Verfahren komprimiert. Über das gezielte Einschleusen von Fehlern kann der Angreifer etwas über den Inhalt der Nachricht erfahren, allerdings muss er dafür wissen, ob eine manipulierte Nachricht vom Zielsystem erfolgreich dekomprimiert wurde. Ähnliche Orakel-Angriffe gab es in der Vergangenheit schon häufiger in anderen Zusammenhängen, allerdings ist es das erste Mal, dass hierfür eine Kompression ausgenutzt wird. Frühere Angriffe nutzten dafür etwa Padding-Mechanismen (Lucky Thirteen, Bleichenbacher-Angriffe) oder Zeichencodierungen.

Damit der Orakel-Angriff funktioniert, muss der Angreifer jedoch wissen, ob die Dekomprimierung auf dem Zielsystem fehlschlägt oder nicht. Bei normalen iMessage-Nachrichten ist das nicht der Fall, der Angreifer erhält keinerlei Rückmeldung. Doch wenn Bilder oder andere Anhänge über iMessage verschickt werden wird der Angriff möglich. In dem Fall wird ein verschlüsselter AES-Schlüssel als Nachricht zusammen mit einer URL verschickt, üblicherweise werden die eigentlichen Daten dann auf icloud.com abgelegt.

Da die Nachricht manipulierbar ist, kann ein Angreifer die URL des Anhangs durch eine eigene URL ersetzen. Damit erhält der Angreifer die Rückmeldung, die für den Orakel-Angriff nötig ist. Wird eine Nachricht erfolgreich dekomprimiert, ruft das Zielsystem die URL auf. Schlägt die Dekomprimierung fehl, erfolgt kein Zugriff auf die URL.

Der gesamte Angriff dauert in der vorgestellten Form etwa 70 Stunden und es müssen circa 250.000 Nachrichten an das Opfer geschickt werden. Matthew Green geht aber davon aus, dass sich dies weiter optimieren lässt.

Transportverschlüsselung und Key Pinning

Eine weitere Hürde dürfte den Angriff in der Praxis meistens verhindern: Die iMessage-Nachrichten sind nicht nur selbst verschlüsselt, für die Kommunikation zwischen den Apple-Servern und den Clients kommt zusätzlich eine Transportverschlüsselung zum Einsatz. Theoretisch wäre es denkbar, dass ein Angreifer sich durch die Kompromittierung einer Zertifizierungsstelle ein gültiges Zertifikat für die Apple-Server verschafft, doch unter iOS 9 wird auch das verhindert. Apps wie iMessage nutzen Key Pinning, um Verbindungen mit unberechtigt ausgestellten Zertifikaten zu verhindern.

Praktisch durchführbar ist der Angriff also bei modernen Systemen nur, wenn jemand direkt Zugriff auf Apples Server hat. Das dürfte in den wenigsten Fällen praktikabel sein. Doch genau das ist eigentlich das Versprechen einer Ende-zu-Ende-Verschlüsselung: Dass selbst der Betreiber eines Services nicht in der Lage ist, die Verschlüsselung anzugreifen.

Schlechtes Protokolldesign

Das iMessage-Protokoll wirkt aus kryptographischer Sicht alles andere als solide. In modernen Protokollen werden zur symmetrischen Verschlüsselung üblicherweise authentifizierte Verschlüsselungsmodi wie GCM oder Poly1305 eingesetzt. Diese sorgen dafür, dass eine Nachricht nicht nur verschlüsselt wird, sondern auch die Echtheit einer Nachricht durch den Schlüssel gewährleistet ist. Manipulationen der Nachricht sind damit nicht mehr möglich, da jede manipulierte Nachricht bereits bei der Entschlüsselung entdeckt und verworfen wird.

Apples Gegenmaßnahme wirkt aus dieser Sicht eher fragwürdig. Der Angriff wird künftig verhindert, indem iMessage den Teil der Nachricht, in dem sich der RSA-verschlüsselte AES-Key befindet, auf Doppelungen prüft. Wenn mehrere Nachrichten ankommen, die mit dem selben AES-Schlüssel verschlüsselt sind, werden diese verworfen. Dadurch wird der konkrete Angriff verhindert, das Protokolldesign wirkt aber weiterhin sehr fragil. Konstruktionsmängel wie die fehlende Forward-Secrecy-Eigenschaft bestehen natürlich auch weiterhin.

Matthew Green scheint ebenfalls nicht sehr glücklich mit dieser Lösung. Langfristig solle Apple iMessage am besten vergessen und stattdessen Signal mit dem Axolotl-Protokoll nutzen, meint Green.



Anzeige
Top-Angebote
  1. (aktuell u. a. CPU-Kühler)
  2. mit Gutschein: NBBCORSAIRPSP19
  3. (heute u. a. Saugroboter)
  4. (u. a. Metal Gear Solid V: The Definitive Experience für 8,99€ und Train Simulator 2019 für 12...

matty3d 26. Mär 2016

Jobs war ja noch innovativ, aber seit der tot ist scheint Apple nur noch zu einer...

nakamura 23. Mär 2016

Facepalm.

JarJarThomas 22. Mär 2016

Weil es DAMALS nicht existierte

masel99 22. Mär 2016

Wenn man Zugriff auf die Apple-Server hat kann man noch ganz andere Dinge... Natürlich...

immatoll 22. Mär 2016

Der zweite Kommentar von jemanden der nur Überschriften lesen kann... Herrlich diese...


Folgen Sie uns
       


Die Commodore-264er-Reihe angesehen

Unschlagbar günstig, unfassbar wenig RAM - der C16 konnte in vielen Belangen nicht mit dem populären C64 mithalten.

Die Commodore-264er-Reihe angesehen Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
      Final Fantasy 7 Remake angespielt
      Cloud Strife und die (fast) unendliche Geschichte

      E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

      1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
      2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
      3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

        •  /