18. Oktober 2016

Marcel Gust

Linkvorschau als Lücke: iMessage verrät Nutzerdaten

Apple zur Privatsphäre

Apple betont immer wieder, beim Thema Privatsphäre keine Kompromisse einzugehen, doch die letzten Erkenntnisse über die Funktionsweise von iMessage sprechen eine andere Sprache.

iMessage-Check

iMessage Sicherheit

Mit seinem end-zu-end-verschlüsselten SMS-Ersatz, iMessage, wollte Apple die Kommunikation seiner Nutzer eigentlich sicherer machen – doch das Gegenteil könnte der Fall sein. Laut einem Bericht von The Intercept werden alle Telefonnummern bereits bei der Eingabe in die Empfängerliste der Nachrichten-App an Apple gesendet, um zu überprüfen, ob der Gesprächspartner iMessage benutzt. Wenn nicht, werden die Nachrichten als herkömmliche SMS mit einer grünen Sprechblase verschickt.
Unabhängig davon werden die Telefonnummern beider potentieller Kommunikationsteilnehmer zusammen mit dem Datum, der Uhrzeit und der IP-Adresse des Nutzers für 30 Tage gespeichert. Daten, die – abhängig von den nationalen Gesetzen – auch von Strafverfolgungsbehörden abgefragt werden könnten. Entgegen Apples Behauptung aus dem Jahr 2013, keine Daten zu speichern, die Rückschlüsse auf den Standort der Kunden erlauben, ist dies anhand der IP-Adresse durchaus möglich.

Neue Funktionen = neue Schwachstellen

Als wäre das noch nicht genug, hat der Entwickler Ross McKillop eine weitere Schwachstelle des Messangers aufgedeckt, die jedem Angreifer jederzeit eine Menge Daten liefern kann.

iMessage Vorschau

Wer einen Link zugeschickt bekommt, kann sich seit iOS 10 über eine Link-Vorschau freuen. Diese Funktion kennt man z.B. bereits von Facebook: Wird ein Link gepostet, lädt Facebook eine Reihe von Metadaten von der Seite, sodass nicht nur ein schnöder Link, sondern auch ein Vorschaubild, der Titel und der Beginn des Textes angezeigt werden.

Doch in den iMessages werden diese Metadaten nicht über einen Proxy-Server von Apple abgefragt, sondern vom Endgerät selbst. Dabei werden u.a. die IP-Adresse des Empfängers, der Gerätetyp (iPhone, iPad, Mac) und die exakte Version des Betriebssystems an die Website geschickt – und zwar von sämtlichen Geräten des Nutzers, auf denen iMessage aktiviert wurde.

iMessage Link-Vorschau Metadaten

Wenn der Mac und das iPhone eines Nutzers von zwei verschiedenen IP-Adressen antworten, lässt dies den Schluss zu, dass sich der Nutzer vermutlich gerade nicht zu Hause befindet.

Da die Anfrage offensichtlich von Safari und ohne Zutun des Nutzers durchgeführt wird, könnten Angreifer potentielle Sicherheitslücken des Browsers mit einer infizierten Website ausnutzen. Die Frage, wie man Nutzer auf die infizierte Seite leitet, entfällt, da man ihnen nur den Link per iMessage zuschicken muss. Die App folgt dem Link automatisch. Eine Möglichkeit, diese Funktion abzuschalten, existiert derweil nicht.

iMessage Sicherheit

Es bleibt zu hoffen, dass Apple das Problem in einem der nächsten Updates behebt, indem die Daten über einen Proxy-Server geleitet werden. McKillop schlägt noch einen besseren Weg vor: Da der Absender der Website offensichtlich vertraut, spricht nichts dagegen, dass die Metadaten (Vorschaubild, Titel, usw.) der Website von seinem Gerät geladen und zusammen mit der iMessage verschickt werden.

Weitere Artikel

Hands-On: Apple Watch Nike+ im ersten Video

Olloclip bringt Aufstecklinsen für iPhone 7

32 Gedanken zu „Linkvorschau als Lücke: iMessage verrät Nutzerdaten“

  1. Ich habe leider gestern feststellen müssen, das ich in der iPhone E-Mail App keine PDF’s intern unterschreiben kann um sie unterschrieben weiterzuleiten bzw. zu antworten. Setze ich ein leeres Unterschriftenfeld ein funktioniert es, mit der vorab abgespeicherten Unterschrift nicht. Die PDF geht nur zu. Hoffe das der Bug mit 10.1. gelöst wird.
  3. Mein iMessage geht seit dem Kauf des iPhone 7 nicht mehr, ich bekomme jedesmal diesen Aktivierungserror. Ich habe bereits alles ausprobiert was ich im Internet finden konnte, selbst das ganze IPhone neu aufgesetzt. Apple Support weist mich zu meinem Anbieter da dieser iMessage freischalten, Anbieter weist mich zu Apple da dieser es freischaltet, echt nervig. Ich hoffe das eine neue SIM Karte das Problem lösen wird. Hat dennoch jemand Erfahrung mit dem Problem ? Das Problem gibt es ja im Internet schon seit Jahren..
    • Funktioniert denn iMessage, wenn Du Dich in Deinen WLAN befindest? Apple muss doch Dich für iMessage nicht freischalten! Wie auch? Grundsätzlich werden Daten über Deine Datenflat versendet. Ob das bei Dir geht oder nicht, hat dies eindeutig nur etwas mit deinem Provider zu tun.
      • @Gloriouzz Ja habe iMessage auf meinem alten iPhone deaktiviert und zurück gesetzt. @Neo70 Nein die Aktivierung funktioniert im WLAN sowie im mobilen Netz nicht. Auch auf dem iPad funktioniert es seit dem Kauf des iPhone 7 nicht mehr. @Hio Nein ich bin bei Salt in der Schweiz, keine Multi SIM.
  5. Ich finde das Thema mit dem Darenschutz sowas von übertrieben! Natürlich gibt es Daten die nicht weitergegeben werden sollten wie Kennwörter für Geräte, Accounts oder auch Bankdaten! Aber wenn jetzt die Habdynummer auf irgendein Apple Server landet ist mir das sowas von egal! Und für die Leute den das nicht gefällt, die sollten lieber erstmal anfangen Facebook, whatsApp oder sogar den E-Mail Anbieter zu wechseln, denn die sammeln richtig Daten!
  6. Nicht schön, wenn mein Handy ungefragt Websites besucht – danke für die Info! @apfelpage: Bitte schreibt doch auch einen kurzen Beitrag, wenn das von Apple behoben wurde!!!
  7. Die Kommentare und das Interesse zu diesem Thema zeigen: Die Gehirnwäsche von diesem System funktioniert wie erwartet… :-(
  9. Wer Links von einer unbekannten Nr öffnet,ist selber schuld.Freunde mit denen man schreibt,werden sowas sicher nicht machen. Schön das es herausgefunden wurde und Apple reagieren kann. Aber da ja 98 % der Leute hauptsächlich Whats Crapp und Fatzebug benutzen,ist es eh viel Wind um nix.
    • @Fanboy: Du hast den Text nicht gelesen oder nicht verstanden. Du bekommst eine „böse“ iMessage mit einem „bösen“ Link und dein iPhone besucht selber die „böse“ Seite, ohne dein Zutun, sprich den Link anzuklicken. Jetzt verstanden? Hier nochmal der entsprechende Absatz zum Nachlesen: Da die Anfrage offensichtlich von Safari und ohne Zutun des Nutzers durchgeführt wird, könnten Angreifer potentielle Sicherheitslücken des Browsers mit einer infizierten Website ausnutzen. Die Frage, wie man Nutzer auf die infizierte Seite leitet, entfällt, da man ihnen nur den Link per iMessage zuschicken muss. Die App folgt dem Link automatisch. Eine Möglichkeit, diese Funktion abzuschalten, existiert derweil nicht.

Die Kommentare sind geschlossen.