iCloud Mail: Empfang und Versand im Klartext

14. Februar 2014 Kategorie: Apple, Backup & Security, geschrieben von:

Bei Heise Security hat man Apples iCloud-Mail-Dienste unter die Lupe genommen. Hierbei stellte sich heraus, dass E-Mails von und zu iCloud-Konten im Klartext übers Internet transportiert werden. Die Server von Apple liefern anscheinend E-Mails grundsätzlich unverschlüsselt ab, selbst wenn die empfangenden Mail-Server Verschlüsselung via starttls anboten, haben die Server von Apple diese Option bei den Heise-Tests nicht genutzt.

Bildschirmfoto 2014-02-14 um 13.57.20

Die für Adressen mit den Endungen @mac.com, @me.com und @icloud.com zuständigen Mail-Eingangs-Server bieten laut Heise gar kein starttls an. Ein Server, der eine Mail an eine solche Adresse loswerden will, muss diese zwangsläufig ebenfalls im Klartext abliefern. Schlussfolgerung: Wer E-Mail-Verkehr auf den Internet-Backbones einsammelt, hat bei Apples iCloud-Kunden also leichtes Spiel.

Weiterhin heißt es:

Die für die konkrete iCloud-Mail-Nutzung vorgesehenen IMAP- und SMTP-Server verschlüsseln zwar, bieten dabei aber keine Forward Secrecy, nutzen das problematische RC4 und können nur TLS 1.0. Das bleibt weit hinter dem Stand der Technik zurück. Das Webmail-Frontend www.icloud.com kann zwar TLS 1.2 und sogar HSTS, verweigert aber Forward Secrecy, die verhindert, dass verschlüsselt gespeicherte Daten zu einem späteren Zeitpunkt dechiffriert werden können.

Ähnliche gravierende Patzer hat sich auch ein anderer Provider geleistet: Outlook.com von Microsoft.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25473 Artikel geschrieben.