Sicherheitsforscher zu iMessage: Kannst du die Verschlüsselung nicht knacken, knack den Client

Apple beseitigte in iOS 9.3 und OS X 10.11.4 verschiedene Schwachstellen in seinem Nachrichtendienst iMessage. Während die Schwäche unter iOS zeitnah nach dem Update durch die Fachmedien ging, weisen Sicherheitsforscher von Bishop Fox jetzt auf eine weitere, beunruhigende Lücke hin, die Apple mit dem letzten Update am Desktop schloss. Sie beschreiben deren Natur so: Wenn du die Verschlüsselung nicht kaputt kriegst, mach den Client kaputt.

Messages am Mac kann E-Mail-Adressen, Rufnummern, Medien und auch Weblinks anklickbar machen. Das schnelle Übernehmen von Terminen ist ebenso möglich wie das Öffnen von Kartenausschnitten oder auch Webseiten. Dabei kommt Webkit zum Einsatz, die Totschlag-Browserengine, die in Safari am Mac und zwangsweise in jedem Browser unter iOS steckt. Webkit ist allerdings bekannt für zahlreiche Sicherheitslücken, die immer wieder gefixt werden müssen. Eine solche Lücke ermöglichte es Angreifern über manipulierte Javascript-Links die gesamte iMessage-Historie von Mac-Nutzern zu erbeuten, die den Link anklickten.

Die Lücke, die als CVE-2016-1764 bekannt ist, wurde mit OS X 10.11.4 beseitigt. Die Spezialisten von Bishop Fox wiesen aber auf den beunruhigenden Trend hin, dass bei zu viel Aufmerksamkeit für die Verschlüsselung grundlegende Schwächen der Clients teils vergessen werden.