Linkvorschau als Lücke: iMessage verrät Nutzerdaten

Apple zur Privatsphäre

Apple betont immer wieder, beim Thema Privatsphäre keine Kompromisse einzugehen, doch die letzten Erkenntnisse über die Funktionsweise von iMessage sprechen eine andere Sprache.

iMessage-Check

iMessage Sicherheit

Mit seinem end-zu-end-verschlüsselten SMS-Ersatz, iMessage, wollte Apple die Kommunikation seiner Nutzer eigentlich sicherer machen – doch das Gegenteil könnte der Fall sein. Laut einem Bericht von The Intercept werden alle Telefonnummern bereits bei der Eingabe in die Empfängerliste der Nachrichten-App an Apple gesendet, um zu überprüfen, ob der Gesprächspartner iMessage benutzt. Wenn nicht, werden die Nachrichten als herkömmliche SMS mit einer grünen Sprechblase verschickt.
Unabhängig davon werden die Telefonnummern beider potentieller Kommunikationsteilnehmer zusammen mit dem Datum, der Uhrzeit und der IP-Adresse des Nutzers für 30 Tage gespeichert. Daten, die – abhängig von den nationalen Gesetzen – auch von Strafverfolgungsbehörden abgefragt werden könnten. Entgegen Apples Behauptung aus dem Jahr 2013, keine Daten zu speichern, die Rückschlüsse auf den Standort der Kunden erlauben, ist dies anhand der IP-Adresse durchaus möglich.

Neue Funktionen = neue Schwachstellen

Als wäre das noch nicht genug, hat der Entwickler Ross McKillop eine weitere Schwachstelle des Messangers aufgedeckt, die jedem Angreifer jederzeit eine Menge Daten liefern kann.

iMessage Vorschau

Wer einen Link zugeschickt bekommt, kann sich seit iOS 10 über eine Link-Vorschau freuen. Diese Funktion kennt man z.B. bereits von Facebook: Wird ein Link gepostet, lädt Facebook eine Reihe von Metadaten von der Seite, sodass nicht nur ein schnöder Link, sondern auch ein Vorschaubild, der Titel und der Beginn des Textes angezeigt werden.

Doch in den iMessages werden diese Metadaten nicht über einen Proxy-Server von Apple abgefragt, sondern vom Endgerät selbst. Dabei werden u.a. die IP-Adresse des Empfängers, der Gerätetyp (iPhone, iPad, Mac) und die exakte Version des Betriebssystems an die Website geschickt – und zwar von sämtlichen Geräten des Nutzers, auf denen iMessage aktiviert wurde.

iMessage Link-Vorschau Metadaten

Wenn der Mac und das iPhone eines Nutzers von zwei verschiedenen IP-Adressen antworten, lässt dies den Schluss zu, dass sich der Nutzer vermutlich gerade nicht zu Hause befindet.

Da die Anfrage offensichtlich von Safari und ohne Zutun des Nutzers durchgeführt wird, könnten Angreifer potentielle Sicherheitslücken des Browsers mit einer infizierten Website ausnutzen. Die Frage, wie man Nutzer auf die infizierte Seite leitet, entfällt, da man ihnen nur den Link per iMessage zuschicken muss. Die App folgt dem Link automatisch. Eine Möglichkeit, diese Funktion abzuschalten, existiert derweil nicht.

iMessage Sicherheit

Es bleibt zu hoffen, dass Apple das Problem in einem der nächsten Updates behebt, indem die Daten über einen Proxy-Server geleitet werden. McKillop schlägt noch einen besseren Weg vor: Da der Absender der Website offensichtlich vertraut, spricht nichts dagegen, dass die Metadaten (Vorschaubild, Titel, usw.) der Website von seinem Gerät geladen und zusammen mit der iMessage verschickt werden.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Gefällt Dir der Artikel?

Marcel Gust
twitter Google app.net mail
Marcel Gust

32 Kommentare zu dem Artikel "Linkvorschau als Lücke: iMessage verrät Nutzerdaten"

  1. Halb&Halb 18. Oktober 2016 um 11:57 · Antworten
    Ich habe leider gestern feststellen müssen, das ich in der iPhone E-Mail App keine PDF’s intern unterschreiben kann um sie unterschrieben weiterzuleiten bzw. zu antworten. Setze ich ein leeres Unterschriftenfeld ein funktioniert es, mit der vorab abgespeicherten Unterschrift nicht. Die PDF geht nur zu. Hoffe das der Bug mit 10.1. gelöst wird.
    iLike 0
    • Appfel467876 18. Oktober 2016 um 13:31 · Antworten
      Und was hat das mit dem Thema zu tun? Stell deine Fragen irgendwo aber nicht hier
      iLike 15
      • Matthias 18. Oktober 2016 um 14:15 ·
        Ruhig,…
        iLike 14
      • Elia 18. Oktober 2016 um 16:44 ·
        Entspann dich @Apfel467876 wenn nicht hier, wo soll er sonst fragen?? Da hätte ein einfaches *off topic gereicht
        iLike 12
      • Apfelschimmel 18. Oktober 2016 um 18:10 ·
        Du nervst @apfel 87…oder so !!!!
        iLike 7
      • ALDeeNruh 19. Oktober 2016 um 15:59 ·
        Ruhig, brauner.
        iLike 0
    • stinchen 18. Oktober 2016 um 16:12 · Antworten
      Dann installiere einfach mal Adobe Fill&Sign – das funktioniert mit jeglichen PDF-Dateien.
      iLike 2
      • Halb&Halb 18. Oktober 2016 um 18:15 ·
        Danke dir für die Info.
        iLike 2
  2. Devil97 18. Oktober 2016 um 12:03 · Antworten
    Ups, ein Fauxpas!
    iLike 1
    • Hans-Peter 18. Oktober 2016 um 14:59 · Antworten
      Aber was für einer!! Was ist denn los in Cupertino?
      iLike 2
  3. Sibo 18. Oktober 2016 um 12:12 · Antworten
    Mein iMessage geht seit dem Kauf des iPhone 7 nicht mehr, ich bekomme jedesmal diesen Aktivierungserror. Ich habe bereits alles ausprobiert was ich im Internet finden konnte, selbst das ganze IPhone neu aufgesetzt. Apple Support weist mich zu meinem Anbieter da dieser iMessage freischalten, Anbieter weist mich zu Apple da dieser es freischaltet, echt nervig. Ich hoffe das eine neue SIM Karte das Problem lösen wird. Hat dennoch jemand Erfahrung mit dem Problem ? Das Problem gibt es ja im Internet schon seit Jahren..
    iLike 1
    • Gloriouzz 18. Oktober 2016 um 12:20 · Antworten
      Hast du iMessage auf deinem alten Gerät deaktiviert?
      iLike 2
    • neo70 18. Oktober 2016 um 12:31 · Antworten
      Funktioniert denn iMessage, wenn Du Dich in Deinen WLAN befindest? Apple muss doch Dich für iMessage nicht freischalten! Wie auch? Grundsätzlich werden Daten über Deine Datenflat versendet. Ob das bei Dir geht oder nicht, hat dies eindeutig nur etwas mit deinem Provider zu tun.
      iLike 0
      • Philip 18. Oktober 2016 um 12:58 ·
        @Neo70 Natürlich muss iMessage aktiviert werden. Deswegen auch die Meldung das dafür SMS Gebühren anfallen können.
        iLike 3
    • Hip 18. Oktober 2016 um 12:31 · Antworten
      Bist du bei Drilisch? Multi SIM?
      iLike 0
      • Sibo 18. Oktober 2016 um 13:01 ·
        @Gloriouzz Ja habe iMessage auf meinem alten iPhone deaktiviert und zurück gesetzt. @Neo70 Nein die Aktivierung funktioniert im WLAN sowie im mobilen Netz nicht. Auch auf dem iPad funktioniert es seit dem Kauf des iPhone 7 nicht mehr. @Hio Nein ich bin bei Salt in der Schweiz, keine Multi SIM.
        iLike 1
  4. Appfel467876 18. Oktober 2016 um 13:30 · Antworten
    Ich glaub ich mache heute Abend Pizzas. Was meint ihr. Soll ich oder nicht
    iLike 14
    • TaMère 18. Oktober 2016 um 14:36 · Antworten
      Singular: Pizza, Plural: Pizzen 💁🏼‍♂️
      iLike 14
      • stinchen 18. Oktober 2016 um 16:17 ·
        Nicht ganz richtig, aber auch nicht ganz falsch, denn es gelten ganz offiziell beide Varianten bei der Puralbildung dieses Wortes.☝🏻️ Ergo: Singular Pizza; Plural: Pizzen, Pizzas💁🏼
        iLike 5
      • Szink Diffränt 18. Oktober 2016 um 20:51 ·
        Variante drei: Pizze
        iLike 1
      • Halb&Halb 18. Oktober 2016 um 23:30 ·
        Shit auf den Plural, schmecken mu(ü)ss(en) sie ;)
        iLike 2
      • stinchen 18. Oktober 2016 um 23:31 ·
        @Szink Diffränt: „Pizze“ wiederum ist nicht Variante drei im Sinne der offiziellen Pluralbildung in der deutschen Sprache, sondern hochoffiziell die Mehrzahl von Pizza in Italien☝🏻️😉
        iLike 1
  5. Sebastian 18. Oktober 2016 um 15:08 · Antworten
    Ich finde das Thema mit dem Darenschutz sowas von übertrieben! Natürlich gibt es Daten die nicht weitergegeben werden sollten wie Kennwörter für Geräte, Accounts oder auch Bankdaten! Aber wenn jetzt die Habdynummer auf irgendein Apple Server landet ist mir das sowas von egal! Und für die Leute den das nicht gefällt, die sollten lieber erstmal anfangen Facebook, whatsApp oder sogar den E-Mail Anbieter zu wechseln, denn die sammeln richtig Daten!
    iLike 6
    • Informatigger; 19. Oktober 2016 um 02:56 · Antworten
      Sieh dir den Film Snowden an und überleg nochmal neu…
      iLike 1
      • Sebastian 19. Oktober 2016 um 10:07 ·
        Hab ich und jetzt? Meine Meinung bleibt bestehen!
        iLike 0
  6. Toni 18. Oktober 2016 um 16:46 · Antworten
    Nicht schön, wenn mein Handy ungefragt Websites besucht – danke für die Info! @apfelpage: Bitte schreibt doch auch einen kurzen Beitrag, wenn das von Apple behoben wurde!!!
    iLike 2
  7. Septimus 18. Oktober 2016 um 16:52 · Antworten
    Die Kommentare und das Interesse zu diesem Thema zeigen: Die Gehirnwäsche von diesem System funktioniert wie erwartet… :-(
    iLike 6
  8. inu 18. Oktober 2016 um 19:51 · Antworten
    S C H W E I N E R E I !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! :-<<
    iLike 2
  9. Fanboy...na klar 18. Oktober 2016 um 20:41 · Antworten
    Wer Links von einer unbekannten Nr öffnet,ist selber schuld.Freunde mit denen man schreibt,werden sowas sicher nicht machen. Schön das es herausgefunden wurde und Apple reagieren kann. Aber da ja 98 % der Leute hauptsächlich Whats Crapp und Fatzebug benutzen,ist es eh viel Wind um nix.
    iLike 0
    • Hummel 18. Oktober 2016 um 22:14 · Antworten
      @Fanboy: Du hast den Text nicht gelesen oder nicht verstanden. Du bekommst eine „böse“ iMessage mit einem „bösen“ Link und dein iPhone besucht selber die „böse“ Seite, ohne dein Zutun, sprich den Link anzuklicken. Jetzt verstanden? Hier nochmal der entsprechende Absatz zum Nachlesen: Da die Anfrage offensichtlich von Safari und ohne Zutun des Nutzers durchgeführt wird, könnten Angreifer potentielle Sicherheitslücken des Browsers mit einer infizierten Website ausnutzen. Die Frage, wie man Nutzer auf die infizierte Seite leitet, entfällt, da man ihnen nur den Link per iMessage zuschicken muss. Die App folgt dem Link automatisch. Eine Möglichkeit, diese Funktion abzuschalten, existiert derweil nicht.
      iLike 7
      • Fanboy...na klar 19. Oktober 2016 um 17:27 ·
        Uuups…mein Fehler…😁
        iLike 0
  10. AF 19. Oktober 2016 um 06:34 · Antworten
    😳😳😳
    iLike 1