Schwäche, die behoben werden soll
Die schwache Verschlüsselung des beliebten Chatprogramms iMessage veranlasste laut Washington Post den Projektleiter Mathew Green dazu, sich mit seinen Studenten näher damit zu beschäftigen. Nach ein paar Monaten hatten sie eine Software entwickelt, die die Funktionen eines Apple-Servers nachahmte. Dann griffen sie eine Bildübertragung an, die einen iCloud-Link und einen 64-stelligen Schlüssel enthielt. Durch eine Brute-Force-Methode erhielten sie Stück für Stück den Schlüssel. Hatten sie eine Zahl erraten, wurde diese durch das Endgerät bestätigt. Der Angriff würde von dem potenziellen Opfer unbemerkt ablaufen.
Noch sind keine Details des Angriffs bekannt, denn die Sicherheitslücke wird erst mit dem Update auf iOS 9.3 geschlossen. Green glaubt aber, dass das Angriffsverfahren auch in späteren Versionen anwendbar sei, allerdings bedürfe es vermutlich den Hacker-Ressourcen eines Staates.
Auch für die US-Regierung von Interesse
Das US-Justizministerium wünscht sich schon seit einiger Zeit eine Hintertür in iOS und die Möglichkeit, darauf zugreifen zu können. Green hingegen hält wenig davon:
Selbst Apple mit seiner geballten Kompetenz – und sie haben herausragende Kryptografen – hat das nicht ganz perfekt hinbekommen. Da macht es mir Angst, dass wir diese Diskussion über Hintertüren haben, die der Verschlüsselung hinzugefügt werden sollen, wenn wir noch nicht einmal eine perfekte Basisverschlüsselung haben.
Erst im Februar hatte ein Bundesrichter zugunsten des FBI entschieden, dass Apple bei der Entschlüsselung der Daten auf dem iPhone des Terroristen Syed Farook behilflich sein muss. In diesem Fall geht es um die Sicherheitsfunktion, bei der eine wiederholte Fehleingabe des Gerätepassworts alle Inhalte des Geräts unbrauchbar macht. So wird der Schutz vor Brute-Force-Attacken auf den Code gewährleistet. Ob die automatische Löschfunktion tatsächlich aktiviert ist, steht nicht fest.
Einige Sicherheitsexperten vermuten, dass das FBI das fragliche iPhone durchaus ohne Apples Hilfe knacken könne. Vermutlich versuchen die Ermittler, einen Präzedenzfall zu schaffen, um künftig in ähnlichen Fällen auch ohne Gerichtsbeschluss auf Telefondaten zugreifen zu können.
