Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Chats öffentlich einsehbar: Nothing zieht iMessage-Integration aufgrund schwerster Sicherheitsverletzungen zurück

Apples iMessage-Nachrichtendienst ist ein geschlossenes System: Nur mit Apple-Geräten lässt sich der Dienst nutzen – eine Web-Schnittstelle oder Android-App existiert nicht. In Regionen mit geringem iPhone-Marktanteil ist dies zu verschmerzen, doch blickt man in die USA, wird schnell deutlich, dass iMessage zu einem sehr wichtigen Kommunikationswerkzeug herangewachsen ist. Wollen Kunden Handys anderer Hersteller nutzen, müssen diese zwangsläufig auf iMessage verzichten – doch diesen Nachteil wollte der momentan sehr gehypte Handy-Fabrikant "Nothing" nicht hinnehmen.


Letzte Woche kündigte der Hersteller "Nothing Chats" an. Die App sollte es ermöglichen, dass sich Nutzer mit ihrer Apple-ID anmelden und daraufhin mit anderen iMessage-Teilnehmern unterhalten können. Grundsätzlich funktionierte dies, doch bereits kurz nach der Veröffentlichung der App kamen eklatante Sicherheitsmängel ans Tageslicht.

Keine Ende-Zu-Ende-Verschlüsselung
Vollmundig versprach Nothing, dass der auf der Sunbird-Technologie basierende Dienst komplett Ende-Zu-Ende-verschlüsselt sei. Doch bereits der Blick auf die von Sunbird bereitgestellte Plattform lässt schnell erkennen, dass dies nicht der Wahrheit entspricht, wie Sicherheitsforscher nun bestätigen: Die Übermittlung und den Empfang von iMessage-Nachrichten übernehmen Macs – welche die Nachrichten entschlüsseln und an die Nothing-App weitergeben. Bereits an dieser Stelle ist die Ende-Zu-Ende-Verschlüsselung unterbrochen. Auf der Nothing-Webseite war zu lesen, dass weder Sunbird noch Nothing die Nachrichten lesen können – eine glatte Lüge.

Öffentliche Firebase-Datenbank speichert Nachrichten und Bilder
Noch viel schwerer wiegt allerdings der zweite Mangel, welchen diverse Sicherheitsforscher ausmachten: Nothing bzw. Sunbird legen alle empfangenen Nachrichten und Medien-Dateien wie z.B. Bilder in Log-Dateien ab – komplett unverschlüsselt und für alle Mitarbeiter dauerhaft einsehbar. Ferner werden die Nachrichten auch in einer Google-Firebase-Datenbank gesichert, welche ebenfalls nicht verschlüsselt ist.

Nothing und Sunbird verzichten bei der Firebase-Datenbank auf eine Trennung der Daten einzelner Nutzer – und daher ist es ohne großen Aufwand möglich, nach der Anmeldung auf alle Daten inklusive Medien anderer Nutzer zuzugreifen. Dies bedeutet, dass man fremde Chats und Fotos anderer Nutzer mit einfachsten Mitteln auslesen kann.

Rückzieher
Nothing hat mittlerweile die eigenen Apps aus dem Google Play Store zurückgezogen – doch wie es zu diesen verblüffenden Mängeln bezüglich des Umgangs mit Nutzerdaten kommen konnte, lässt der Hersteller komplett offen. Nothing kündigte lediglich an, dass man den Start der App verzögert, um einige "Fehler" zu beseitigen.
Kuo: Release der Apple Watch Ultra 3 und SE 3 im nächsten Jahr
Kuo: Release der Apple Watch Ultra 3 und SE 3 i...
iMac M4 angekündigt
iMac M4 angekündigt
iPhone 16 Pro in Einzelteilen – Details zum Aufbau und zum neuen Modem
iPhone 16 Pro in Einzelteilen – Details zum Auf...
Mac mini mit M4
Mac mini mit M4
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldungen und frühen Erfahrungen
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldung...

Kommentare

RobRoy20.11.23 08:39
Ich finde spannend das iMessage anscheinend nicht ein „Dienst“ ist den man einbinden kann sondern stark in die bestehende Architektur eingebunden ist.

Stand-alone, SaaS, SCS irgendwie nicht so ganz.
-7
MikeMuc20.11.23 08:47
Bei solchen Fehlen muß man eigentlich Vorsatz unterstellen! Da die ja auch die Zugangsdaten für die Appleid haben, kann man befürchten, das bei deren Speicherung ebenfalls extrem schlampig gearbeitet wurde.
Wer da blauäugig mitgemacht hat, sollte jetzt schleunigst sein Passwort ändern damit die Daten nicht für Spam missbraucht werden können.
+18
strateg
strateg20.11.23 08:58
das müsste vom datenschutz her & wegen der falschen angaben eine unangenehm hohe strafe nach sich ziehen
cuntentientscha, attentivitad, curaschi —
+15
SYS64738
SYS6473820.11.23 09:10
... wenn der Firmenname mit dem Produkt so schön korreliert .

Übrigens fehlt im Text ein "y" oder "ie" bzw. das schöne Wort "Mobiltelefon" (oder meinetwegen auch "Mobilfunkfernsprecher").

"Wollen Kunden Hands anderer Hersteller nutzen"
+4
Mendel Kucharzeck
Mendel Kucharzeck20.11.23 09:14
SYS64738
Ist korrigiert, danke!
+3
JanoschR
JanoschR20.11.23 09:32
Halt geil zu sehen, wie sie hier noch breitbeinig behaupten, dass sie jetzt diese Blue-Bubble-Diskussion lösen werden und der Knallkopf auch noch meint, Tim Cook würde sich sein Video ansehen.

https://www.youtube.com/watch?v=A9PP8AeSbbo
+8
thbonk
thbonk20.11.23 09:36
Es war mir schon letzte Woche klar, dass sich Sicherheitsexperten auf den Dienst stürzen werden, sobald er verfügbar ist. Selbst ambitionierten Laien müsste klar sein, dass die Daten irgendwo entschlüsselt gespeichert werden.
​ Älter werden is' nix für Pussies.
+7
eastmac
eastmac20.11.23 09:54
Hoffentlich nutzt Tim solche Probleme im Kampf für ein geschlossenes System wie das iOS nun mal ist.
+6
SYS64738
SYS6473820.11.23 10:00
eastmac
Hoffentlich nutzt Tim solche Probleme im Kampf für ein geschlossenes System wie das iOS nun mal ist.

... verbal hat das eine etwas martialische bzw. totalitäre Anmutung: "Kampf", "geschlossen", "System" ...
-4
MikeMuc20.11.23 10:18
thbonk
…, dass die Daten irgendwo entschlüsselt gespeichert werden.
Nein, gespeichertbwerden müssen nur die Anmeldedaten, der Rest kann / sollte sofort nach der „Weiterleitung“ gelöscht werde, da muß nix in irgendwelchen Datenbanken gespeichert werden.. weil was man nicht hat, kann auch kein anderer finden. Hier aber hatte man, also wurde auch gefunden Datensparsamkeit ist das Zauberwort. Anscheinend wollte man die Daten aber später anderweitig nutzen. Da müsste es in den USA doch schon längst ne Sammelklage gegen die Firma geben wenn einem sowas auf dem Silbertablett serviert wird.
+6
eastmac
eastmac20.11.23 11:25
SYS64738
eastmac
Hoffentlich nutzt Tim solche Probleme im Kampf für ein geschlossenes System wie das iOS nun mal ist.

... verbal hat das eine etwas martialische bzw. totalitäre Anmutung: "Kampf", "geschlossen", "System" ...
Ganz so dolle sollte es nicht rüberkommen, es wird aber ein Kampf werden.
+1
gishmo20.11.23 12:01
So wie ich den Dienst verstanden haben, muss man seine AppleId & das PW rausgeben. Dann melden sich Nothing mit diesen Daten auf einem Ihrer Macs damit an und holt die Nachrichten ab. Mal ganz davon abgesehen, dass man seine AppleId inkl. PW rausrückt, werden diese Daten bei Nothing gespeichert. Ups ...

Ich denke, dass man die Daten in einer DB lokal auf dem Phone speichert, hat etwas mit Performance zu tun, die Menge der Server Anfragen zu verringern und den Payload klein zu halten.

Aus Security-Sicht klingt das ganze so, als ob ein Kika-Gruppe im Bälle-Bad IT-Architektur gemacht hat.
+7
Dunkelbier20.11.23 13:02
Ähh... wie funktioniert dieser "Dienst" überhaupt mit der 2-Faktor-Authentifizierung?

Ich würde ohnehin nicht meine Anmeldedaten irgendeinem Dienst überlassen. Wer ist so blöd und macht das?
+6
frankh20.11.23 13:07
gishmo
Aus Security-Sicht klingt das ganze so, als ob ein Kika-Gruppe im Bälle-Bad IT-Architektur gemacht hat.

sehr schönes Bild
+3
strateg
strateg20.11.23 13:42
gishmo
Aus Security-Sicht klingt das ganze so, als ob ein Kika-Gruppe im Bälle-Bad IT-Architektur gemacht hat.

eine nicht zu unterschätzende chaos konstellation — zu der zeit habe ich zuhause beim assembler coden bereits zugeschaut
cuntentientscha, attentivitad, curaschi —
+2
gishmo20.11.23 14:04
Dunkelbier
Ähh... wie funktioniert dieser "Dienst" überhaupt mit der 2-Faktor-Authentifizierung?


Relativ simpel:
UserId & PW sind ja bekannt, damit kann man sich anmelden. Wenn dann die Abfrage kommt, wird der User in der App nach dem Code gefragt und diese Eingabe kann man dann in das PopUp/den Service packen.

Das Vorgehen war die einfachste Möglichkeit alte Anwendung mit einer Modernen UI auszustatten.
+2
deus-ex
deus-ex21.11.23 09:13
Jetzt wo sich Apple für RCS öffnet (auch nicht freiwillig) spricht nichts mehr gehen ein iMessage für Android. Los Apple. Oder wollt ihr, wie in EU mit WhatsApp, den Kurznachrichtendienst anderen überlassen?
0
ww
ww21.11.23 09:26
hier wollte wohl Nothing wohl ganz schnell ihr Produkt raushauen bevor RCS für iMessage vorhanden ist. Ohne Rücksicht auf Verluste.
+1
TotalRecall
TotalRecall21.11.23 09:28
Die menschliche Dummheit ist grenzenlos
Dunkelbier
Ähh... wie funktioniert dieser "Dienst" überhaupt mit der 2-Faktor-Authentifizierung?

Ich würde ohnehin nicht meine Anmeldedaten irgendeinem Dienst überlassen. Wer ist so blöd und macht das?
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.