iCloud Mail: Empfang und Versand im Klartext
von caschy | 20 Kommentare
Bei Heise Security hat man Apples iCloud-Mail-Dienste unter die Lupe genommen. Hierbei stellte sich heraus, dass E-Mails von und zu iCloud-Konten im Klartext übers Internet transportiert werden. Die Server von Apple liefern anscheinend E-Mails grundsätzlich unverschlüsselt ab, selbst wenn die empfangenden Mail-Server Verschlüsselung via starttls anboten, haben die Server von Apple diese Option bei den Heise-Tests nicht genutzt.
Die für Adressen mit den Endungen @mac.com, @me.com und @icloud.com zuständigen Mail-Eingangs-Server bieten laut Heise gar kein starttls an. Ein Server, der eine Mail an eine solche Adresse loswerden will, muss diese zwangsläufig ebenfalls im Klartext abliefern. Schlussfolgerung: Wer E-Mail-Verkehr auf den Internet-Backbones einsammelt, hat bei Apples iCloud-Kunden also leichtes Spiel.
Weiterhin heißt es:
Die für die konkrete iCloud-Mail-Nutzung vorgesehenen IMAP- und SMTP-Server verschlüsseln zwar, bieten dabei aber keine Forward Secrecy, nutzen das problematische RC4 und können nur TLS 1.0. Das bleibt weit hinter dem Stand der Technik zurück. Das Webmail-Frontend www.icloud.com kann zwar TLS 1.2 und sogar HSTS, verweigert aber Forward Secrecy, die verhindert, dass verschlüsselt gespeicherte Daten zu einem späteren Zeitpunkt dechiffriert werden können.
Ähnliche gravierende Patzer hat sich auch ein anderer Provider geleistet: Outlook.com von Microsoft.
Wird geladen ...
Sorry, ich glaueb da nicht an Patzer…
Da arbeiten mehrere Profis hauptberuflich an der Sicherheit solcher Dienste, bei den größten IT-Firmen der Welt. Das ist kein Versehen, das ist Absicht!
@Peter: Bisschen ZU offensichtlich, oder?
In diesem Blog wird doch auch kein HTTPS angeboten. Hat zwar nichts mit Mail-Versand zu tun, aber mit Sicherheit.
@mueschie
Ein SSL Zertifikat ist ja zum Glück auch das billigste auf der Welt … Und selbst dann die Seite auf https:// umzustellen … Ich weiß nicht, ob das bei WordPress so einfach ist.
@caschy: Meinst du die haben wirklich einfach vergessen SSL zu aktivieren? Solche Projekte werden doch wie wild geplant, alles wird in Meetings besprochen etc…
@mueschie: Emails sind auch etwas sensibler als diese Blogbeiträge, trotzdem wäre SSL hier auch schön.
@phip1611: gibt von StartSSL sogar Zertifikate umsonst. Und so teuer sind die anderen Zertifikate auch nicht… Das wäre bestimmt ein Bruchteil der Serverkosten hier…
@mueschie: Dann lass mich mal den *wirklichen Mehrwert* für die Leser und mich hören. Ich bin ja allem gegenüber offen.
@caschy: Mehrwehrt so zu beziffern ist nicht leicht. Erstmal denke ich die Symbolwirkung wäre nicht schlecht, je mehr Daten nur noch verschlüsselt übertragen werden umso besser. Das erschwert die Überwachung einfach.
Es gibt hier natürlich keine wirklich sensiblen Daten. Aber trotzdem lassen sich denke ich Rückschlüsse auf die Personen ziehen. Bisher kann bei jedem Router der zwischen deinem Server und dem Rechner des Nutzers liegt überwacht werden, wer sich welchen Artikel anguckt und womöglich noch kommentiert.
Fiktives Beispiel: Angenommen du berichtest hier über ein neues elektronisches Blutzuckermessgerät und jemand guckt sich diesen Artikel mehrfach an bzw kommentiert ihn. Da ist die Wahrscheinlichkeit dass dieser Diabetis hat schon gleich viel höher als bei anderen. Es geht meiner Meinung nach ums Prinzip, Profilbildung möglichst zu erschweren.
@phip1611 wenn man sein cms nicht mit unendlichen, dummen und unnütz plugins gefüttert hat, dass mehr nach hause telefoniert, als irgendwo intern auf dem cms zuzugreift, sollte das kein problem sein denke ich mal.
zur not via datenbank-befehl alles von http auf https umstellen lassen. dauert 2sek. wenn da irgendwas nicht klappt mit https, knallhart rausschmeißen. da dauert die einbindung und co viel länger. 😀
Ich liebäugle ja schon lange, auf mail.de umzusteigen. Damit ist das für mich jetzt fix. Meine @me Adresse hat ab heute Abend ausgedient!
„Aber trotzdem lassen sich denke ich Rückschlüsse auf die Personen ziehen. Bisher kann bei jedem Router der zwischen deinem Server und dem Rechner des Nutzers liegt überwacht werden, wer sich welchen Artikel anguckt und womöglich noch kommentiert.“
Auf welche Webseite zu gehst, sieht man auch mit aktivem SSL.
@Roman wikipedia hatte angekündigt deren seiten auch auf ssl umzustellen. begründung: damit nicht mehr so leicht verfolgt werden kann wer sich für welche informationen besonders interessiert und damit das komplette surfverhalten nicht (für die NSA) nachvollziehbar ist. EFF hatte doch so ne animation erstellt welche daten nicht abgefangen werden können bei SSL, VPN, TOR oder war ssl nicht dabei ? … kann die seite nur gerade nicht finden
@Roman: Man sieht nur die Anfrage an den Server stadt-bremerhaven.de, welcher Artikel aufgerufen wird, ist verschlüsselt…
Für einen Kommunikationsdienst wie iCloud sollte wenigstens ein Mindestmaß an Verschlüsselung Pflicht sein, schon seit den 90er Jahren des letzten Jahrhunderts. Klartext, das geht gar nicht.
So kann wirklich jeder mitlesen, und wenn es im gemeinsamen Netz oder öffentlichen WLAN ist.
Naja, dann kann Tim Cook wenigstens behaupten, sie hätten keine Backdoor (z. B. für die NSA) eingebaut. Bei iCloud braucht man keinen Hintereingang. Hier steht der Haupteingang offen wie ein Scheunentor. Für jeden.
Na so was aber auch, gmail ist sicher als apple…
Natürlich ist gmail sicherer. Google ist Vorreiter bei Forward Secrecy.
@caschy: Das muss ’n Auszug aus nem ct Artikel der vorletzten Ausgabe sein. Da wurden viele Provider verglichen. Auch deutsche Anbieter, die sich oft nur mit E-Mail befassen & Geld kosten sind da nicht mit ner weißen Weste rausgekommen (was mich schon etwas enttäuschte…)…
Wenn es so ist wie Peter sagt – gut argumentiert.
@mike3k posteo ist ganz gut weggekommen und mit 1€/monat ein mehr als fairer preis
@mike3K: Das wird auch im aktuellen Artikel erwähnt. Nachdem in der Ausgabe c’t 4/2014 der Providervergleich veröffentlicht wurde hat ein Leser nachgefragt, ob auch der Apple Mail-Dienst getestet werden könnte. Das hat nun Heise Security zum Glück nachgeholt.