welche sicheren alternativen zu imessage?

M

MOM2006

Aktives Mitglied
Thread Starter
Dabei seit
21.09.2011
Beiträge
1.847
Reaktionspunkte
525
so wie es aussieht, ist das imessage protokoll nicht das beste -> http://www.heise.de/newsticker/meldung/iMessage-Sicherheitsluecke-offenbart-Fehler-in-Apples-Krypto-Infrastruktur-3147592.html

wenn hier schon die empfehlung an apple ist es zu lassen und was anderes zu nehmen, was wäre denn empfehlenswert?

das apple mit vielem probleme hat zeigt ja auch die vergangenheit schon.

gibt es eigentlich schon einen fix zu den sich selbst generierenden imessage signing keys im schlüsselbund? es nervt hier 1000ende einträge zu haben und immer wieder löschen zu müssen.
 
Hast du schon mal die Forum-Suche benutzt?

Als Alternative wären: Threema, Telegram, Hoccer, Signal ... und viele mehr.
Letztlich scheitert es immer daran, genügend Nutzer bzw. eigene Kontakte an einen Dienst zu binden.
 
MOM2006 schrieb:
wenn hier schon die empfehlung an apple ist es zu lassen und was anderes zu nehmen, was wäre denn empfehlenswert?
Zum Vergrößern anklicken....

Und jetzt?

Schreibst Du ab und zu mal eine SMS...? Vergiss es, nicht sicher!
Schreibst Du einfach so eine Mail? Vergiss es ... nicht sicher ohne gescheite Verschlüsselung!
Telefonierst Du mit Deinem Smartphone etwa? Total unsicher - kann man ganz leicht abhören!
Telefonierst Du sogar zu Hause mit dem Festnetz? Oh je... noch unsicherer...!

Lange Rede - kurzer Sinn - meine Güte. Als ob sich irgendjemand für Deine iMessage Nachrichten interessieren würde. Ob Klaus jetzt noch mit der Petra zusammen ist, Du Dich mit Peter zum Fussball triffst oder der Olaf ein Depp vor dem Herren ist. Glaubst Du da macht sich einer die Mühe das ab zu fangen?

Wenn Du wirklich solche Bedenken hast... solltest Du oben genannte Punkte wie Telefonieren mit Deinem iPhone auch tunlichst vermeiden...
Erstaunlich mit welchen Horror Meldungen man doch heute alles versucht Klicks zu generieren...
 
  • Gefällt mir
Reaktionen: SwissBigTwin, Lassak34 und faarikaal
MOM2006 schrieb:
so wie es aussieht, ist das imessage protokoll nicht das beste -> http://www.heise.de/newsticker/meldung/iMessage-Sicherheitsluecke-offenbart-Fehler-in-Apples-Krypto-Infrastruktur-3147592.html

wenn hier schon die empfehlung an apple ist es zu lassen und was anderes zu nehmen, was wäre denn empfehlenswert?

das apple mit vielem probleme hat zeigt ja auch die vergangenheit schon.
Zum Vergrößern anklicken....


Aha! Du glaubst auch alles? Und wer nutzt diese Lücke im Verschlüsselungssystem aus?
 
  • Gefällt mir
Reaktionen: Impcaligula
rpoussin schrieb:
Aha! Du glaubst auch alles? Und wer nutzt diese Lücke im Verschlüsselungssystem aus?
Zum Vergrößern anklicken....
Vor allem sollte der TE sich mal wenigstens die Mühe machen den Text zu lesen und nicht nur die Horror Überschrift...

Zitat: "
Der Angreifer muss sich viel Mühe machen
Um den Angriff durchzuführen braucht man laut Professor Matt Green, der die Forschungsarbeit leitete, drei Dinge: Die Nachricht, die man entschlüsseln will, die Möglichkeit über 250.000 (218) Nachrichten an das iPhone zu schicken, das die Nachricht entschlüsseln kann und die Möglichkeit zu wissen, ob der eigene Brutforce-Angriff auf die Verschlüsselung erfolgreich war."

Sorry... klar ich schicke iMessages an Freunde, Bekannte und Kollegen und Hacker X macht sich deswegen diese Mühe... wenn er es überhaupt hinbekommt. Der "Hack" ist ja schon fast rein theoretischer Natur...
 
Impcaligula schrieb:
Sorry... klar ich schicke iMessages an Freunde, Bekannte und Kollegen und Hacker X macht sich deswegen diese Mühe... wenn er es überhaupt hinbekommt. Der "Hack" ist ja schon fast rein theoretischer Natur...
Zum Vergrößern anklicken....

und wie entgegnest du dem argument aus dem artikel?

Zitat: "
Apple sollte "iMessage fallen lassen wie eine heiße Kartoffel"

Green und seine Kollegen kommen zu dem Schluss, dass es ein grundlegendes Problem im Aufbau des iMessage-Protokolls ist, dass Apple keine Message Authentication Codes (MAC) verwendet, um den Absender der Nachrichten sicherzustellen. Erst das erlaubt es Angreifern, eine Nachricht abzufangen, zu manipulieren und noch mal an den Empfänger zu schicken. Er empfiehlt den Apple-Entwicklern ihr Protokoll "wie eine heiße Kartoffel fallen zu lassen" und auf Moxie Marlinspike's Axolotl/Signal-Verschlüsselung umzusteigen. "
 
MOM2006 schrieb:
deswegen frage ich hier nach. sollte ich das ganze als verfrühten april scherz abtun?
Zum Vergrößern anklicken....

Wie wäre es den ganzen Artikel zu lesen ?
Was der Hacker alles machen muss um an Deine einzelne iMessage zu kommen hast Du doch gelesen...oder?

MOM2006 schrieb:
deswegen frage ich hier nach. sollte ich das ganze als verfrühten april scherz abtun?
Zum Vergrößern anklicken....
Nö... Du fragst nicht nach, ob man das ernst nehmen kann - Du fragst sofort nach Alternativen... sprich Du springst sofort auf den Zug drauf, den man Dir angeboten hat...
 
Du solltest jegliche authorisierte Software einfach nutzen und dabei persönliche Sorgfalt anwenden.
Du bist für das, was Du veröffentlichst, ausschließlich selbst verantwortlich.
Keine Passwörter und Bankdaten über öffentliche Systeme versenden.

Knack- und hackbar ist jedes System, die Frage ist, wieviel Aufwand ist nötig.
 
  • Gefällt mir
Reaktionen: Impcaligula
MOM2006 schrieb:
und wie entgegnest du dem argument aus dem artikel?

Zitat: "
Apple sollte "iMessage fallen lassen wie eine heiße Kartoffel"

Green und seine Kollegen kommen zu dem Schluss, dass es ein grundlegendes Problem im Aufbau des iMessage-Protokolls ist, dass Apple keine Message Authentication Codes (MAC) verwendet, um den Absender der Nachrichten sicherzustellen. Erst das erlaubt es Angreifern, eine Nachricht abzufangen, zu manipulieren und noch mal an den Empfänger zu schicken. Er empfiehlt den Apple-Entwicklern ihr Protokoll "wie eine heiße Kartoffel fallen zu lassen" und auf Moxie Marlinspike's Axolotl/Signal-Verschlüsselung umzusteigen. "
Zum Vergrößern anklicken....

Oh... je...

Also... wenn jemand mir sagt... pass auf, wenn ein Schaltjahr und ein Vollmond aufeinander treffen. Gleichzeitig die Temperatur nicht unter 10 Grad fällt. Dabei Venus mit Mars im Korelenz zueinander stehen und dabei auch noch zufällig ein Grashüpfer am Wohnzimmerfenster vorbei hüpft - ja dann, dann könnte man mit viel Aufwand und Glück Dein Fenster für einen Einbruch nutzen...

Oder anders übersetzt - ja es ist möglich Dein iMessage zu hacken. Aber die Wahrscheinlichkeit und der Aufwand gehen gegen NULL! Aber es ist natürlich möglich. Wenn auch mit einer Wahrscheinlichkeit, die gegen NULL bei Dir geht...

Dann kommst Du und schreibst - ja aber die schreiben es würde je gehen!

Ja sorry - ich sagte ja bereits. Es ist so ziemlich alles heute "hackbar" - dann hör auf mit deinem Rechner ins INET zu gehen und mach um Dein Smartphone eine dicke Albfolie - schreibe nie wieder SMS, Mails und telefoniere nur niemals damit - denn es KÖNNTE dabei gehackt werden.

Wenn ich Dir jetzt sage - was übrigens stimmt - man kann Deine Telefongespräche auch hacken und abhören (übrigens recht einfach).
Was machst Du jetzt? Alternativen suchen? Texte trommeln?
Also - was machst jetzt, wo Du weißt, dass Telefonate locker und easy abgehört werden können?
 
Amerikanische Wissenschaftler haben herausgefunden, dass man beim kacken tot von der Schüssel fallen kann, wenn man ein iPhone hat.

Das "Sicherheitsleck" in iMessage ist in etwas genau so einzustufen. Hauptsache irgendwas mit Apple in der Schlagzeile damit sich der Redakteur einen von der Palme wedeln kann....mit seinem iPhone natürlich.
 
  • Gefällt mir
Reaktionen: masta k und Impcaligula
Hm? Wurde nach dem Fix in 9.3 veröffentlicht. Heiße Kartoffel? Die müssen ja sehr sicher sein noch mehr Lücken zu finden...
 
Grundsätzlich soll iMessages sicherer sein als WhatsApp & Co.

Allerdings ist die "eierlegende Wollmilchsau" immer noch eins der ältesten Chat-Protokolle der Welt: XMPP!
 
Hi,

"As of iOS 9.3, Apple has implemented a short-term mitigation that my student Ian Miers proposed. This relies on the fact that while the AES ciphertext is malleable, the RSA-OAEP portion of the ciphertext is not. The fix maintains a "cache" of recently received RSA ciphertexts and rejects any repeated ciphertexts. In practice, this shuts down our attack -- provided the cache is large enough. We believe it probably is." (http://blog.cryptographyengineering.com/2016/03/attack-of-week-apple-imessage.html)

"In the long term, Apple should drop iMessage like a hot rock and move to Signal/Axolotl." (http://blog.cryptographyengineering.com/2016/03/attack-of-week-apple-imessage.html)

Aktuell reden wir davon das es aktuell >70 Stunden braucht um EINE Nachricht zu entschlüsseln, man vermutlich das "Zielgerät" lahmlegt (250000 Nachrichten) und man irgendwie an die (verschlüsselte) Nachricht gekommen sein muss.

Das ist alles anders als schön und ganz sicher sollte Apple hier handeln (hat es ja auch mit schon seit 9.0 wird agressiv Certificate-Pinning verwendet, in 9.3 wird dieser Angriff effektiv verhindert (s.o. bzw. http://blog.cryptographyengineering.com/2016/03/attack-of-week-apple-imessage.html ).

Zu XMPP:

"... For example,
OpenPGP encryption (as implemented by GnuPG) [18]
also employs gzip and may be vulnerable to similar at-
tacks when it is used for online applications such as in-
stant messaging [2]." (https://isi.jhu.edu/~mgreen/imessage.pdf)

XMPP verwendet OpenPGP und ist sehr wahrscheinlich genauso anfällig gegen diese Art des Angriffs - im Paper wurde halt iMessage im speziellen untersucht, da iMessage halt viel weiter verbreitet auf Mobilen Geräten ist als XMPP/Jabber und somit eine gewisse Relevanz hat.
Im Prinzip ist das nix anderes als ein "padding oracle attack" ( http://www.isg.rhul.ac.uk/~kp/padding.pdf ), der prinzipbedingt quasi gegen alle CBC Verschlüsselungen gefahren werden kann (und somit auch gegen OpenPGP).

Wenn man das ganze nicht Boulevardess-Angeht, kann man sich auch ein vernünftiges Bild machen.

Atti
 
NeoAtti schrieb:
Hi,

"In the long term, Apple should drop iMessage like a hot rock and move to Signal/Axolotl." (http://blog.cryptographyengineering.com/2016/03/attack-of-week-apple-imessage.html)
Zum Vergrößern anklicken....
Das steht sogar in dem vom TS verlinkten Artikel. Ich weiß gar nicht, wieso er überhaupt die Frage stellt.
Die (kommerziellen) Firmen sollten einfach Ihre eigenen Verschlüsslungen sein lassen, und auf bewärte Standards setzen. Sonst ist der Ausgang immer der gleiche, kaputte Crypto, wie man in den letzten 15+ Jahren Computergeschichte gut sieht.

Zu XMPP:

"... For example,
OpenPGP encryption (as implemented by GnuPG) [18]
also employs gzip and may be vulnerable to similar at-
tacks when it is used for online applications such as in-
stant messaging [2]." (https://isi.jhu.edu/~mgreen/imessage.pdf)

XMPP verwendet OpenPGP und ist sehr wahrscheinlich genauso anfällig gegen diese Art des Angriffs - im Paper wurde halt iMessage im speziellen untersucht, da iMessage halt viel weiter verbreitet auf Mobilen Geräten ist als XMPP/Jabber und somit eine gewisse Relevanz hat.
Im Prinzip ist das nix anderes als ein "padding oracle attack" ( http://www.isg.rhul.ac.uk/~kp/padding.pdf ), der prinzipbedingt quasi gegen alle CBC Verschlüsselungen gefahren werden kann (und somit auch gegen OpenPGP).

Wenn man das ganze nicht Boulevardess-Angeht, kann man sich auch ein vernünftiges Bild machen.

Atti
Zum Vergrößern anklicken....

Falsch. XMPP ist überhaupt nicht verschlüsselt und nutzt ganz sicher kein OpenPGP, sondern SALS & TLS für Server-Auth und OTR für Ende zu Ende. Eine einfache Wikipediasuche hätte dir schon gereicht um das herausfinden zu können. Der Rest von dem Absatz ist auch nicht richtig. In OTR Bug gefunden: https://www.x41-dsec.de/lab/advisories/x41-2016-001-libotr/
 
Hi,

Eine einfache Recherche (!= Wikipediasuche) hätte XEP 0027 gefunden, sowie die Kritik daran. ;)

Atti
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten