Apple-Nutzer bekommen mit ihrer Anmeldung und der Erstellung einer Apple-ID seit einigen Jahren persönliche E-Mail-Adressen. Sprich: Mit iCloud kann man dann E-Mails über @mac.com-, @me.com- oder @icloud.com- Adressen versenden. Leider unverschlüsselt.
Kein starttls
Denn wie ein Test von „Heise Security“ zeigt, werden die E-Mails, die über iCloud versendet und empfangen werden, unverschlüsselt und im Klartext übertragen. Und das auch dann, wenn der Server des Empfängers verschlüsseltes starttls anbietet. Ähnlich verhält es sich beim Empfang von Mails: Selbst wenn der Server des Senders starttls anbietet, wird er durch die fehlende Möglichkeit von Seiten Apples dazu gezwungen, die Nachricht ebenfalls unverschlüsselt zu versenden.
Und auch sonst seien die Sicherheitstechniken bei Apple nicht auf dem neusten Stand. „Die für die konkrete iCloud-Mail-Nutzung vorgesehenen IMAP- und SMTP-Server verschlüsseln zwar, bieten dabei aber keine Forward Secrecy, nutzen das problematische RC4 und können nur TLS 1.0“, so der Bericht. Zudem unterstütze das Webmail-Frontend icloud.com, über das man sowohl auf die Mails als auch auf Kontakte und den Kalender zugreifen kann, zwar TLS 1.2 und HSTS, verweigere aber Forward Secrecy.
Microsoft ähnlich schlecht
Dem Bericht zufolge ist Apple aber nicht alleine mit den Mängeln. Ähnlich schwach schnitten nur der kleine Provider aikQ und – ebenfalls eine kleine Überraschung – Microsoft mit seinen @Outlook.com-E-Mail-Adressen ab. Wer es also darauf abgesehen hat, E-Mails abzufangen und ohne großen Aufwand zu entschlüsseln, dürfte bei diesen E-Mail-Adressen ein leichtes Spiel haben. Alle anderen Mail-Anbieter aber „nutzten die Option zum Verschlüsseln von E-Mails auf dem Transportweg“, so das „Heise Security“-Team.
Für mich völlig unverständlich. Gerade nach den Berichten, dass NSA und andere Geheimdienste E-Mails beim Transfer zwischen den Servern abfangen, würde man von „den Großen“ doch langsam etwas mehr Sicherheit und Privatsphäre erwarten.
Ist das denn wirklich so schwer?
