Sicherheitslücke in iMessage: Linkvorschau führt Webinhalte lokal aus

Der iMessage-Dienst von Apple weist noch einen weiteren Knackpunkt bei der Sicherheit auf. Dieser steckt in der Linkvorschau und kann derzeit nicht umgangen werden.

Zuletzt kam es wiederholt zu Zweifeln an der Sicherheit von iMessage. Nicht weil es von Geheimdiensten kompromittiert, sondern von Apple schlampig programmiert ist. Nachdem bekannt wurde, dass es möglich ist die IP von Nutzern auszulesen zeigt sich nun, dass die Linkvorschau, die unter iOS 10 hinzukam, ebenfalls verwundbar ist. Diese kann nicht abgeschaltet werden.

Ausführen von Code und Ausspähen von Gerätedaten

Wie bei anderen Diensten bereits üblich, zeigt iMessage bei verschickten Links dem Empfänger eine Vorschau der Website. Deren Inhalt wird allerdings vom empfangenden iPhone oder Mac geladen. Ist die Website von einem Angreifer aufgesetzt, kann sie den Gerätetyp, die Browserversion und ebenfalls die IP auslesen.

Eine Abfrage des Browsers ergibt beispielsweise:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.4 (KHTML, like Gecko) Version/9.0.1 Safari/601.2.4 facebookexternalhit/1.1 Facebot

Auch wäre die Ausführung bösartigen Codes möglich, falls sich eine passende Schwachstelle in Webkit findet, derer gab und gibt es immer wieder viele. Ein Entwickler hat dieses Problem entdeckt und verweist auch darauf, dass es aktuell keinen einfachen Workaround gibt:

There is no way to switch off this automatic request behaviour, therefore no way to disable this. Hopefully Apple will either change this or make it an option to request via a proxy (enabled by default.

Ein VPN verhindert zumindest Zuordnungen aufgrund der IP. Wenn Mac und iPhone stets über das selbe VPN verbunden sind, würde das keinen Hinweis auf die Aufenthaltsorte der Geräte geben. Optimal ist das mit Blick auf Sicherheit und Usability aber nicht.