iMessage – Sichere Kommunikation mit Schwachstellen

Bild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

Apple bewirbt seine Produkte seit längerem mit dem Verweis auf die eigenen Bemühungen für mehr Sicherheit und Datenschutz. Der Konzern aus Cupertino möchte sich ganz offensichtlich hierdurch von den Konkurrenten Google, Microsoft & Co abgrenzen. Bei einigen Diensten funktioniert das ganz gut (sehe: Kartendienste unter die Lupe genommen), andere Dienste geben ein durchwachseneres Bild ab, so auch iMessage.

iMessage ist Apples Messenger für textbasierte Kommunikation (sowie natürlich auch Videos und Bilder) und das Pendant zu FaceTime (siehe: FaceTime – Verschlüsselte Videokommunikation im Apple Ökosystem). Der Dienst lässt sich nur im Apple-Ökosystem auf macOS oder iOS Endgeräten nutzen, aber hat dennoch eine halbwegs hohe Verbreitung.

Technisch handelt es sich vermutlich um eine Art XMPP-Implementierung, die zusätzlich Ende-zu-Ende verschlüsselt ist. Apple bewirbt den Dienst somit als sichere Alternative zu anderen Diensten Telegram oder WhatsApp, bei dem zumindest die Metadaten vermutlich durch Facebook ausgewertet werden. Sowohl das Protokoll, als auch die Verschlüsselung sind jedoch nicht dokumentiert.

Die fehlende Transparenz ist problematisch, da es in der Vergangenheit erfolgreiche Angriffe auf die iMessage Verschlüsselung gab, bei der die eingesetzte Technik als unzureichend eingestuft wurde. Apples hat die 2016 gefundene Lücke zwar geschlossen, aber die Lösung gleicht eher einem Flickenteppich, denn einer soliden Neuentwicklung. Der Entdecker der Lücke empfahl daher auch auf das Axolotl-Protokoll (auch Signal-Protokoll) zu wechseln, das bei Signal und WhatsApp, sowie in Abwandlung bei anderen Messengern zum Einsatz kommt.

Problematisch ist zudem das Cloud-Backup der iOS-Geräte. In dem iCloud Backup sind nämlich die iMessage Schlüssel enthalten, die eine Entschlüsselung der Nachrichten ermöglichen. Das iCloud-Backup fungiert somit quasi als Hintertür zu den Nachrichten.

Mit iOS 12 und macOS 10.14 „Mojave“ hat Apple zudem die Funktion „Nachrichten in der iCloud“ ausgerollt. Diese Zusatzoption ist zwar nicht standardmäßig aktiviert, ermöglicht aber die Synchronisation von SMS und iMessage-Nachrichten über alle Apple-Endgeräte hinweg. Zwar sollen die Nachrichten nach dem gleichen Verfahren wie der iCloud-Schlüsselbund geschützt sein (siehe auch: Verschlüsselte iMessages Synchronisation – Warum nicht auch für die iCloud?), aber auch hier sind Schwachstellen nicht gänzlich ausgeschlossen.

Diesen Nachteilen stehen jedoch auch einige Vorteile gegenüber. Im Gegensatz zu Signal oder WhatsApp gibt es native Apps für iMessages für alle Apple-Endgeräte. Insbesondere die WebApp-Implementierungen der Konkurrenz haben sich in der Vergangenheit immer wieder als Schwachstelle erwiesen, so z. B. bei Signal.

Der reine Inhaltsschutz der Nachrichten ist zudem nur ein Aspekt. Bisher schafft es kein Messengerdienst die Metadaten zuverlässig zu schützen und die großen Datenkraken werten diese bereits aus oder beabsichtigen dies zumindest für die Zukunft. Apple hat sich in der Vergangenheit stark für Datenschutz ausgesprochen und bisher ist nicht bekannt geworden, dass sie in großem Stil Kundendaten auswerten. Vermutlich schlicht weil Apple nicht in der Werbebranche tätig ist, die gegenwärtig mit Abstand das schmutzigste Geschäft im digitalen Zeitalter ist.

iMessage ist somit nicht die ideale Lösung für sichere Kommunikation, aber bieten eine halbwegs akzeptable Balance aus Sicherheit, Datenschutz und Verbreitung. Der Anwender sollte jedoch einige Funktionen wie das iCloud-Backup deaktivieren.


Bilder:
Einleitungs- und Beitragsbild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...