iMessage-Sicherheitslücke offenbart Fehler in Apples Krypto-Infrastruktur
Professor Matt Green von der Johns-Hopkins-Universität hat Details zu dem von ihm entdeckten Angriff auf Apples Messenger vorgestellt. Er empfiehlt Apple, die eigene Krypto aufzugeben und Moxie Marlinspikes Signal-Verschlüsselung zu verwenden.
Nachdem Apple Sicherheitslücken in der Verschlüsselung von iMessage mit iOS 9.3 und OS X 10.11.4 behoben hat, haben die Sicherheitsforscher der Johns-Hopkins-Universität, welche die Schwachstellen entdeckt hatten, nun Details zu dem von ihnen entwickelten Angriff bekannt gegeben. Die Forscher hatten ihre Erkenntnisse im November an Apple gemeldet, zu diesem Zeitpunkt hatte Apple den Angriff bereits durch die Einführung von Certificate Pinning in iOS 9 beträchtlich erschwert.
Der Angreifer muss sich viel Mühe machen
Bei dem Angriff handelt es sich um eine Abwandlung eines Padding-Oracle-Angriffs, der allerdings nicht auf das Padding, sondern auf die Gzip-Kompression einer verschlüsselten Nachricht abzielt. Der Angreifer macht sich dabei die Vorgehensweise zu Nutze, mit der iMessage Nachrichten komprimiert, bevor sie verschlüsselt werden. Der Angreifer manipuliert Teile der verschlüsselten Nachricht und schickt sie erneut an den Empfänger. Aus dessen Reaktion kann er so nach und nach durch Änderungen am verschlüsselten Text den Plaintext herauskitzeln.
Um den Angriff durchzuführen braucht man laut Professor Matt Green, der die Forschungsarbeit leitete, drei Dinge: Die Nachricht, die man entschlüsseln will, die Möglichkeit über 250.000 (218) Nachrichten an das iPhone zu schicken, das die Nachricht entschlüsseln kann und die Möglichkeit zu wissen, ob der eigene Brutforce-Angriff auf die Verschlüsselung erfolgreich war. Mit der Einführung von Certificate Pinning hat Apple es sehr schwer gemacht, an die verschlüsselte Nachricht zu kommen; Geheimdienste mit Zugriff auf Apples zentrale Server können den Angriff allerdings noch immer ausführen.
Apples Fix verhindert die Schwachstelle durch Trickserei
Der Fix in iOS 9.3 und OS X 10.11.4 sorgt nun dafür, dass Angreifer nun auch die 218 Nachrichten, die sie für den Angriff brauchen, nicht mehr unbemerkt verschicken können. Dazu cached Apple für eine bestimmte Zeit alle verschlüsselten Nachrichten, die durch ihr System laufen. So kann die Firma verhindern, dass ein iMessage-Konto eine große Anzahl an sehr ähnlichen Nachrichten an ein Zielgerät verschickt, um den von Green et al. beschriebenen Angriff durchzuführen.
Normalerweise teilt das Ziel-iPhone auch nicht mit, ob eine Nachricht erfolgreich entschlüsselt wurde. Hier helfen sich die Forscher allerdings mit einem Trick: Verschickt man ein Bild als Anhang an eine Nachricht, wird dieses verschlüsselt und auf den iCloud-Servern abgelegt. Kann der Empfänger die Nachricht entschlüsseln, läd sein Gerät automatisch das Bild herunter. Manipuliert ein Angreifer die URL in der Nachricht und tauscht icloud.com gegen eine eigene Domain aus, kann er auf seinem Webserver feststellen, ob das Ziel-iPhone versucht hat, die Datei abzuholen. Auf diesem Wege kann er sehen, ob das Zielgerät diesen Teil der Nachricht entschlüsseln konnte.
Apple sollte „iMessage fallen lassen wie eine heiße Kartoffel“
Green und seine Kollegen kommen zu dem Schluss, dass es ein grundlegendes Problem im Aufbau des iMessage-Protokolls ist, dass Apple keine Message Authentication Codes (MAC) verwendet, um den Absender der Nachrichten sicherzustellen. Erst das erlaubt es Angreifern, eine Nachricht abzufangen, zu manipulieren und noch mal an den Empfänger zu schicken. Er empfiehlt den Apple-Entwicklern ihr Protokoll „wie eine heiße Kartoffel fallen zu lassen“ und auf Moxie Marlinspike’s Axolotl/Signal-Verschlüsselung umzusteigen. Das hätte laut Green ebenfalls den Vorteil, dass Apple keine zentralen Schlüsselserver mehr betreiben muss – diese stellen einen weiteren Schwachpunkt von iMessage dar, der nach wie vor besteht.
Die Forschungsarbeit von Green et al. als ausführliche PDF: Dancing on the Lip of the Volcano: Chosen Ciphertext Attacks on Apple iMessage
Quelle: http://heise.de/-3147592