Sonstiges

Leider immer noch: iCloud-Mails werden im Klartext versendet

EMail
geschrieben von Tobias Gillen

Apple-Nutzer bekommen mit ihrer Anmeldung und der Erstellung einer Apple-ID seit einigen Jahren persönliche E-Mail-Adressen. Sprich: Mit iCloud kann man dann E-Mails über @mac.com-, @me.com- oder @icloud.com- Adressen versenden. Leider unverschlüsselt.

iCloud

Kein starttls

Denn wie ein Test von „Heise Security“ zeigt, werden die E-Mails, die über iCloud versendet und empfangen werden, unverschlüsselt und im Klartext übertragen. Und das auch dann, wenn der Server des Empfängers verschlüsseltes starttls anbietet. Ähnlich verhält es sich beim Empfang von Mails: Selbst wenn der Server des Senders starttls anbietet, wird er durch die fehlende Möglichkeit von Seiten Apples dazu gezwungen, die Nachricht ebenfalls unverschlüsselt zu versenden.

Und auch sonst seien die Sicherheitstechniken bei Apple nicht auf dem neusten Stand. „Die für die konkrete iCloud-Mail-Nutzung vorgesehenen IMAP- und SMTP-Server verschlüsseln zwar, bieten dabei aber keine Forward Secrecy, nutzen das problematische RC4 und können nur TLS 1.0“, so der Bericht. Zudem unterstütze das Webmail-Frontend icloud.com, über das man sowohl auf die Mails als auch auf Kontakte und den Kalender zugreifen kann, zwar TLS 1.2 und HSTS, verweigere aber Forward Secrecy.

Microsoft ähnlich schlecht

Dem Bericht zufolge ist Apple aber nicht alleine mit den Mängeln. Ähnlich schwach schnitten nur der kleine Provider aikQ und – ebenfalls eine kleine Überraschung – Microsoft mit seinen @Outlook.com-E-Mail-Adressen ab. Wer es also darauf abgesehen hat, E-Mails abzufangen und ohne großen Aufwand zu entschlüsseln, dürfte bei diesen E-Mail-Adressen ein leichtes Spiel haben. Alle anderen Mail-Anbieter aber „nutzten die Option zum Verschlüsseln von E-Mails auf dem Transportweg“, so das „Heise Security“-Team.

Für mich völlig unverständlich. Gerade nach den Berichten, dass NSA und andere Geheimdienste E-Mails beim Transfer zwischen den Servern abfangen, würde man von „den Großen“ doch langsam etwas mehr Sicherheit und Privatsphäre erwarten.

Ist das denn wirklich so schwer?


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Tobias Gillen

Tobias Gillen ist seit August 2014 Chefredakteur und seit Mai 2015 Geschäftsführer von BASIC thinking. Erreichen kann man ihn immer per E-Mail oder in den Netzwerken.

1 Kommentar

  • Mit Verlaub: Wer nach der NSA-Affäre seinen Mailverkehr immernoch über amerikanische Provider abwickelt, dem ist ohnehin nicht mehr zu helfen – Verschlüsselung hin oder her. Die beste Verschlüsselung vom Anwender zum Anbieter ist hinfällig, wenn der wie Apple, Microsoft, Google und Co. selbst kompromittiert ist.

Kommentieren