Abo
  • Services:
Anzeige
Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels.
Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels. (Bild: Screenshot)

Apple: Lückenhafte iMessage-Verschlüsselung

Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels.
Die Funktion zum Verschicken von Bildern und anderen Anhängen in iMessage ermöglicht einen Angriff mittels eines Kompressionsorakels. (Bild: Screenshot)

Kryptographen haben eine Sicherheitslücke bei der Verschlüsselung des iMessage-Protokolls entdeckt. In der Praxis dürfte diese nur sehr schwer ausnutzbar sein, doch sie zeigt, dass das dahinterstehende Protokoll äußerst fragwürdig ist.

Apples iMessage war eines der ersten weit verbreiteten Messaging-Systeme mit eingebauter Ende-zu-Ende-Verschlüsselung. Sicherheitsforscher der Johns-Hopkins-Universität haben sich das System genauer angesehen und dabei eine Sicherheitslücke entdeckt. Der vorgestellte Angriff baut darauf, dass Apple keinen authentifizierten Verschlüsselungsmodus benutzt und verwendet ein neuartiges Oracle-Verfahren, das den verwendeten Kompressionsalgorithmus ausnutzt. Die Lücke praktisch auszunutzen, dürfte nur für sehr mächtige Angreifer praktikabel sein. Es zeigt sich aber, dass Apple beim Design des Protokolls einige Fehler gemacht hat. Mit dem gestrigen iOS-Update wurde ein Workaround bereitgestellt, dieser behebt allerdings das zugrunde liegende Problem nicht.

Anzeige

Keine authentifizierte Verschlüsselung und kein Forward Secrecy

Entdeckt wurde der Angriff von Studenten des bekannten Kryptographen Matthew Green. In seinem Blog erläutert Green den Angriff, ein detailliertes Paper wurde ebenfalls veröffentlicht.

Das Verschlüsselungssystem von iMessage ist nicht öffentlich dokumentiert. Die Firma Quarkslab hatte jedoch 2013 das Protokoll mittels Reverse Engineering analysiert. iMessage verschlüsselt zunächst mittels RSA im OAEP-Modus einen symmetrischen Schlüssel, anschließend wird die eigentliche Nachricht mit diesem Schlüssel und dem AES-Verfahren im Counter-Modus verschlüsselt. Außerdem wird die verschlüsselte Nachricht mittels ECDSA signiert.

Zunächst einmal ist auffällig, dass dieses Verfahren keine Forward-Secrecy-Eigenschaft hat. Bei modernen Verschlüsselungsprotokollen gilt dies eigentlich heutzutage als selbstverständlich. Für den Angriff relevant ist jedoch etwas anderes: Der Counter-Mode ist kein authentifizierter Verschlüsselungsmodus. Nachrichten im Counter-Modus können durch einen Angreifer bitweise manipuliert werden, man spricht in der Kryptographie in solchen Fällen von "Malleability".

Verhindert werden soll die Manipulation von Nachrichten durch die Signatur. Doch genau das funktioniert nicht. Denn ein Angreifer kann schlicht eine bestehende Nachricht abfangen und mit einer eigenen gültigen Signatur eines anderen Accounts versehen.

Das allein ermöglicht noch keinen Angriff, damit könnte man lediglich eine Nachricht eines anderen erneut verschicken. Doch nun hat der Angreifer zumindest die Möglichkeit, dem Opfer eine Nachricht unterzujubeln, von der er zwar den Inhalt nicht kennt, die er aber gezielt manipulieren kann.

Orakel nutzt Gzip-Kompression aus

Um etwas über den Inhalt der Nachricht zu erfahren, kommt nun ein Orakel zum Einsatz. Die Nachrichten werden vor der Verschlüsselung mit dem Gzip-Verfahren komprimiert. Über das gezielte Einschleusen von Fehlern kann der Angreifer etwas über den Inhalt der Nachricht erfahren, allerdings muss er dafür wissen, ob eine manipulierte Nachricht vom Zielsystem erfolgreich dekomprimiert wurde. Ähnliche Orakel-Angriffe gab es in der Vergangenheit schon häufiger in anderen Zusammenhängen, allerdings ist es das erste Mal, dass hierfür eine Kompression ausgenutzt wird. Frühere Angriffe nutzten dafür etwa Padding-Mechanismen (Lucky Thirteen, Bleichenbacher-Angriffe) oder Zeichencodierungen.

Damit der Orakel-Angriff funktioniert, muss der Angreifer jedoch wissen, ob die Dekomprimierung auf dem Zielsystem fehlschlägt oder nicht. Bei normalen iMessage-Nachrichten ist das nicht der Fall, der Angreifer erhält keinerlei Rückmeldung. Doch wenn Bilder oder andere Anhänge über iMessage verschickt werden wird der Angriff möglich. In dem Fall wird ein verschlüsselter AES-Schlüssel als Nachricht zusammen mit einer URL verschickt, üblicherweise werden die eigentlichen Daten dann auf icloud.com abgelegt.

Da die Nachricht manipulierbar ist, kann ein Angreifer die URL des Anhangs durch eine eigene URL ersetzen. Damit erhält der Angreifer die Rückmeldung, die für den Orakel-Angriff nötig ist. Wird eine Nachricht erfolgreich dekomprimiert, ruft das Zielsystem die URL auf. Schlägt die Dekomprimierung fehl, erfolgt kein Zugriff auf die URL.

Der gesamte Angriff dauert in der vorgestellten Form etwa 70 Stunden und es müssen circa 250.000 Nachrichten an das Opfer geschickt werden. Matthew Green geht aber davon aus, dass sich dies weiter optimieren lässt.

Transportverschlüsselung und Key Pinning

Eine weitere Hürde dürfte den Angriff in der Praxis meistens verhindern: Die iMessage-Nachrichten sind nicht nur selbst verschlüsselt, für die Kommunikation zwischen den Apple-Servern und den Clients kommt zusätzlich eine Transportverschlüsselung zum Einsatz. Theoretisch wäre es denkbar, dass ein Angreifer sich durch die Kompromittierung einer Zertifizierungsstelle ein gültiges Zertifikat für die Apple-Server verschafft, doch unter iOS 9 wird auch das verhindert. Apps wie iMessage nutzen Key Pinning, um Verbindungen mit unberechtigt ausgestellten Zertifikaten zu verhindern.

Praktisch durchführbar ist der Angriff also bei modernen Systemen nur, wenn jemand direkt Zugriff auf Apples Server hat. Das dürfte in den wenigsten Fällen praktikabel sein. Doch genau das ist eigentlich das Versprechen einer Ende-zu-Ende-Verschlüsselung: Dass selbst der Betreiber eines Services nicht in der Lage ist, die Verschlüsselung anzugreifen.

Schlechtes Protokolldesign

Das iMessage-Protokoll wirkt aus kryptographischer Sicht alles andere als solide. In modernen Protokollen werden zur symmetrischen Verschlüsselung üblicherweise authentifizierte Verschlüsselungsmodi wie GCM oder Poly1305 eingesetzt. Diese sorgen dafür, dass eine Nachricht nicht nur verschlüsselt wird, sondern auch die Echtheit einer Nachricht durch den Schlüssel gewährleistet ist. Manipulationen der Nachricht sind damit nicht mehr möglich, da jede manipulierte Nachricht bereits bei der Entschlüsselung entdeckt und verworfen wird.

Apples Gegenmaßnahme wirkt aus dieser Sicht eher fragwürdig. Der Angriff wird künftig verhindert, indem iMessage den Teil der Nachricht, in dem sich der RSA-verschlüsselte AES-Key befindet, auf Doppelungen prüft. Wenn mehrere Nachrichten ankommen, die mit dem selben AES-Schlüssel verschlüsselt sind, werden diese verworfen. Dadurch wird der konkrete Angriff verhindert, das Protokolldesign wirkt aber weiterhin sehr fragil. Konstruktionsmängel wie die fehlende Forward-Secrecy-Eigenschaft bestehen natürlich auch weiterhin.

Matthew Green scheint ebenfalls nicht sehr glücklich mit dieser Lösung. Langfristig solle Apple iMessage am besten vergessen und stattdessen Signal mit dem Axolotl-Protokoll nutzen, meint Green.


eye home zur Startseite
matty3d 26. Mär 2016

Jobs war ja noch innovativ, aber seit der tot ist scheint Apple nur noch zu einer...

nakamura 23. Mär 2016

Facepalm.

JarJarThomas 22. Mär 2016

Weil es DAMALS nicht existierte

masel99 22. Mär 2016

Wenn man Zugriff auf die Apple-Server hat kann man noch ganz andere Dinge... Natürlich...

immatoll 22. Mär 2016

Der zweite Kommentar von jemanden der nur Überschriften lesen kann... Herrlich diese...



Anzeige

Stellenmarkt
  1. SQS Software Quality Systems AG, Frankfurt
  2. Robert Bosch GmbH, Abstatt
  3. Schaeffler Autom. Afterm. GmbH & Co. KG, Langen
  4. Klinkhammer Förderanlagen GmbH, Nürnberg


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 44,97€, Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 23,99€ (Vorbesteller-Preisgarantie)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Cloud Native Con

    Kubernetes 1.6 versteckt Container-Dienste

  2. Blizzard

    Heroes of the Storm 2.0 bekommt Besuch aus Diablo

  3. APT29

    Staatshacker nutzen Tors Domain-Fronting

  4. Stellenanzeige

    Netflix führt ausgefeilten Kampf gegen illegale Kopien

  5. Xbox One

    Neue Firmware mit Beam und Erfolgsmonitoring

  6. Samsung

    Neue Gear 360 kann in 4K filmen

  7. DeX im Hands On

    Samsung bringt eigene Desktop-Umgebung für Smartphones

  8. Galaxy S8 und S8+ im Kurztest

    Samsung setzt auf langgezogenes Display und Bixby

  9. Erazer-Serie

    Medion bringt mehrere Komplett-PCs mit AMDs Ryzen heraus

  10. DJI

    Drohnen sollen ihre Position und ihre ID funken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Hasskommentare Regierung plant starke Ausweitung der Bestandsdatenauskunft
  2. Kamera Facebook macht schicke Bilder und löscht sie dann wieder
  3. Dieter Lauinger Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

Mass Effect Andromeda im Test: Zwischen galaktisch gut und kosmischem Kaffeekränzchen
Mass Effect Andromeda im Test
Zwischen galaktisch gut und kosmischem Kaffeekränzchen
  1. Mass Effect Andromeda im Technik-Test Frostbite für alle Rollenspieler
  2. Mass Effect Countdown für Andromeda
  3. Mass Effect 4 Ansel und Early Access für Andromeda

D-Wave: Quantencomputer oder Computer mit Quanteneffekten?
D-Wave
Quantencomputer oder Computer mit Quanteneffekten?
  1. IBM Q Qubits as a Service
  2. Rechentechnik Ein Bauplan für einen Quantencomputer

  1. Re: Am Besten gefallen mir die Preise ...

    ipodtouch | 22:48

  2. Re: Klinke

    Niaxa | 22:44

  3. Re: Und nach 1,5 Jahren auch wieder Schrott wegen...

    Niaxa | 22:40

  4. Re: Bixby vs s-voice

    Niaxa | 22:37

  5. Re: 64 gb rom?

    Niaxa | 22:34


  1. 18:40

  2. 18:19

  3. 18:01

  4. 17:43

  5. 17:25

  6. 17:00

  7. 17:00

  8. 17:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel