Apple bewirbt seine Produkte seit längerem mit dem Verweis auf die eigenen Bemühungen für mehr Sicherheit und Datenschutz. Der Konzern aus Cupertino möchte sich ganz offensichtlich hierdurch von den Konkurrenten Google, Microsoft & Co abgrenzen. Bei einigen Diensten funktioniert das ganz gut (sehe: Kartendienste unter die Lupe genommen), andere Dienste geben ein durchwachseneres Bild ab, so auch iMessage.
iMessage ist Apples Messenger für textbasierte Kommunikation (sowie natürlich auch Videos und Bilder) und das Pendant zu FaceTime (siehe: FaceTime – Verschlüsselte Videokommunikation im Apple Ökosystem). Der Dienst lässt sich nur im Apple-Ökosystem auf macOS oder iOS Endgeräten nutzen, aber hat dennoch eine halbwegs hohe Verbreitung.
Technisch handelt es sich vermutlich um eine Art XMPP-Implementierung, die zusätzlich Ende-zu-Ende verschlüsselt ist. Apple bewirbt den Dienst somit als sichere Alternative zu anderen Diensten Telegram oder WhatsApp, bei dem zumindest die Metadaten vermutlich durch Facebook ausgewertet werden. Sowohl das Protokoll, als auch die Verschlüsselung sind jedoch nicht dokumentiert.
Die fehlende Transparenz ist problematisch, da es in der Vergangenheit erfolgreiche Angriffe auf die iMessage Verschlüsselung gab, bei der die eingesetzte Technik als unzureichend eingestuft wurde. Apples hat die 2016 gefundene Lücke zwar geschlossen, aber die Lösung gleicht eher einem Flickenteppich, denn einer soliden Neuentwicklung. Der Entdecker der Lücke empfahl daher auch auf das Axolotl-Protokoll (auch Signal-Protokoll) zu wechseln, das bei Signal und WhatsApp, sowie in Abwandlung bei anderen Messengern zum Einsatz kommt.
Problematisch ist zudem das Cloud-Backup der iOS-Geräte. In dem iCloud Backup sind nämlich die iMessage Schlüssel enthalten, die eine Entschlüsselung der Nachrichten ermöglichen. Das iCloud-Backup fungiert somit quasi als Hintertür zu den Nachrichten.
Mit iOS 12 und macOS 10.14 “Mojave” hat Apple zudem die Funktion “Nachrichten in der iCloud” ausgerollt. Diese Zusatzoption ist zwar nicht standardmäßig aktiviert, ermöglicht aber die Synchronisation von SMS und iMessage-Nachrichten über alle Apple-Endgeräte hinweg. Zwar sollen die Nachrichten nach dem gleichen Verfahren wie der iCloud-Schlüsselbund geschützt sein (siehe auch: Verschlüsselte iMessages Synchronisation – Warum nicht auch für die iCloud?), aber auch hier sind Schwachstellen nicht gänzlich ausgeschlossen.
Diesen Nachteilen stehen jedoch auch einige Vorteile gegenüber. Im Gegensatz zu Signal oder WhatsApp gibt es native Apps für iMessages für alle Apple-Endgeräte. Insbesondere die WebApp-Implementierungen der Konkurrenz haben sich in der Vergangenheit immer wieder als Schwachstelle erwiesen, so z. B. bei Signal.
Der reine Inhaltsschutz der Nachrichten ist zudem nur ein Aspekt. Bisher schafft es kein Messengerdienst die Metadaten zuverlässig zu schützen und die großen Datenkraken werten diese bereits aus oder beabsichtigen dies zumindest für die Zukunft. Apple hat sich in der Vergangenheit stark für Datenschutz ausgesprochen und bisher ist nicht bekannt geworden, dass sie in großem Stil Kundendaten auswerten. Vermutlich schlicht weil Apple nicht in der Werbebranche tätig ist, die gegenwärtig mit Abstand das schmutzigste Geschäft im digitalen Zeitalter ist.
iMessage ist somit nicht die ideale Lösung für sichere Kommunikation, aber bieten eine halbwegs akzeptable Balance aus Sicherheit, Datenschutz und Verbreitung. Der Anwender sollte jedoch einige Funktionen wie das iCloud-Backup deaktivieren.
Bilder:
Einleitungs- und Beitragsbild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons
