Heise.de berichtet, dass Apples iCloud-Mail-Dienste eine erhebliche Sicherheitslücke aufweisen. Ein Test hat ergeben, dass E-Mails, die von und zu iCloud-Konten über das Internet transportiert werden, im Klartext übermittelt werden.
Die iCloud Mail-Server von Apple liefern E-Mails offenbar immer unverschlüsselt bei den Empfängern an, selbst wenn die empfangenden Mail-Server Verschlüsselung anboten. Die für Adressen mit den Endungen @mac.com, @me.com und @icloud.com zuständigen Mail-Eingangs-Server (MX) bieten keine Verschlüsselung an.
Wer E-Mail-Verkehr auf den Internet-Backbones einsammelt, hat bei Apples iCloud-Kunden also leichtes Spiel, konstatiert heise.de und beschreibt den Sachverhalt ausführlich. „Die für die konkrete iCloud-Mail-Nutzung vorgesehenen IMAP- und SMTP-Server verschlüsseln zwar, bieten dabei aber keine Forward Secrecy, nutzen das problematische RC4 und können nur TLS 1.0“, heißt es dort.
Lediglich Mails von Apple, die über den Ausgang-Server mail-out.apple.com gehen, werden bei der Übertragung an externe Server verschlüsselt. Apple habe bislang auf Anfrage noch keinen Kommentar dazu abgegeben, heißt es weiter.
Diskutiere mit!
Hier kannst du den Artikel "Apple Sicherheitslücke: iCloud-E-Mails sind unverschlüsselt" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
So verspielt man leichtfertig Kredit. Schade, Apple wird offenbar immer lustiger.
„luschiger" war gemeint
Stimmt! Die ehemalige Qualität ist nur noch Luft!
So ein Paranoikerquatsch. Bald kommt noch die Tageszeitung verschlüsselt ins Haus.
Welches der geheimniskranken Hirne hat so wichtiges zu sagen dass es verschlüsselt werden muss.
Und wenn, dann transportiert er es als verschlüsselten Anhang in der Mail.
Punkt.
Ach, die Wanzen, die die Stasi früher gerne mal in Wohnungen gelegt hat, waren also auch OK? Es hat ja NIEMAND etwas zu verbergen!
Ich kann es nicht mehr hören. Schickst du Postkarten? Wenn ja hast du die verschlüsselt?
Bumst Du gerne mit deiner Freundin in aller Öffentlichkeit, nein? Dann hast Du ja doch etwas zu verbergen. Vielleicht gibt es ja Menschen, die nicht gerne das gesamte Privatleben gepostet haben wollen. Für die ist eine Verschlüsselung kein Blödsinn.
Die Wanzen haben, so weit ich weiss, unverschlüsselt übertragen :-)
Genau und zieh doch mit deiner Freundin in ein Glashaus du hast bestimmt nicht zu verbergen ist ja klar.
Ja ich habe es begriffen gibt nur schwarz und weiß. Entweder ich verschlüssel alles oder ich habe nichts zu verbergen. Verschlüsselt weiter wie auch immer eure Urlaubspostkarten.
Es geht hier nicht um Postkarten, ganz sicher nicht. Es geht um E-Mails, in denen vielleicht Kontodaten übermittelt werden, oder auch Passwörter usw usw. Wer schreibt auf einer Postkarte schon seine Kontonummer?
Firmeninterne Mails die unverschlüsselt gesendet werden, können einer Firma sicherlich schaden.
Doch es geht um Postkarten, nämlich digitale. Genau das sind E-Mails in Wirklichkeit. Wer darüber Kontodaten "oder auch Passwörter usw usw" übermittelt, ohne die Mail selbst zu verschlüsseln, hat es nicht besser verdient.
Aber offensichtlich weisst du das ja selbst.
"Firmeninterne Mails die unverschlüsselt gesendet werden, können einer Firma sicherlich schaden."
Genau und vor zig Jahren sind Emails immer als genau das bezeichnet worde, digitale Postkarten. Es ist auch ständig Gebetsmühlenartig auf den Punkt hingewiesen worde das man keine vertrauliche Daten über Email versenden sollte.
Heutzutage kann man ja einfach schnell selber verschlüsseln, wer das nicht macht versendet entweder keine sensiblen Daten per Mail oder ist schlecht informiert bis dumm.
Ja, ja. Vor zig Jahren. Lustigerweise bekommt man heutzutage von Firmen und Behörden sensible Daten per Email zugesendet. Ohne Chance den Inhalt zu verschlüsseln oder verschlüsselt zu erhalten. Klar, Du kannst Deine Mails alle per PGP etc. absichern. Nutzt Dir bloss nichts wenn die Gegenseite damit nichts anfangen kann. Da nutzt es mir herzlich wenig wenn vor zig Jahren oder in der Jetztzeit ein Datenschützer erklärt, das wären Postkarten. Als rede hier nicht von dumm sondern informier Dich besser.
Ich bleibe dabei. Es ist und war bekannt das Emails offen wie Postkarten sind.
Nachtrag: Ich habe von Behörden noch nie sensible Daten per Email bekommen.
Genau. Und von Firmen auch nicht. Krankenkassen nicht. Versandunternehmen nicht. Im Prinzip versendet niemand sensible Daten. Und weil ich noch nie sensible Daten von irgendwem per Email erhalten habe, gilt das für alle anderen auch. Hiermit erkläre ich die Sache für beendet. Mit freundlichen Grüßen, R. Pofalla.
Ich habe nie gesagt das es weil ich keine bekommen habe es für alle gilt, also gibt es auch kein Grund eingeschnappt zu reagieren.
Da ich eben weiß das Email wie eine Postkarte ist kommuniziere ich auch mit Krankenkassen oder Behörden nicht per Mail sondern schön altmodisch per unverschlüsseltem Telefonat oder Brief. Bisher war es auch kein Problem bei Behörden und Co. zu sagen das man nicht mehr Mail nicht erreichbar ist.
Gut ich nehme dumm zurück und ersetze es durch Faul. Es dauert eben länger Briefe zu schreiben als ne Mail. Ob des Wissens das EMail wie Postkarten sind kann jeder selber abwägen welche Daten er in Mails versenden will.
Ok, was ist mit Emails von Amazon & Co? Darin stehen Bestelldaten, Kundennummern etc. Nun kann man natürlich konsequent Onlineshopping meiden, das entspricht aber nicht der Lebensrealität, das hat auch nichts mit Faulheit zu tun. Es ist eigentlich nur für Totalverweigerer möglich, KEINE Emails mit Inhalt zu bekommen die lediglich postkartenähnlichen Inhalt besitzen.
Es sei denn man baut sich seine eigene Definition von sensiblen Daten.
Im Übrigen - was zum Geier soll das überhaupt? Es wäre technisch möglich Emails zumindest ein bisschen sicherer zu machen. Aber sobald man wie in diesem Fall bei Apple darauf hinweist, das nicht einmal das Selbstverständliche selbstverständlich ist, lediglich Kommentare kommen wie "Emails sind doch nur Postkarten" ist das ja so unglaublich weise und hilfreich.
Danke hatte bisher nicht gewusst das ich weise bin. Da Name Kundennummer auf vielen Lieferungen auf dem Karton stehen somit diese auch jeder sehen kann bin ich da entspannt. Bei anderen Dingen verschlüssel ich entweder die Mail oder den Anhang.
Gast 15.2. 06:42
Du bist aber auch nicht wirklich informiert. Bisher habe ich noch keine einzige e-Mail verschlüsselt bekommen von den Softwareherstellern als ich diverse Registrierungscodes für meine Einkäufe erhielt.
Wenn wir "doofen" Nutzer es also nicht "besser verdient" haben dann klär mal auf wie man denn verschlüsselt schicken könnte und zwar OHNE einen Informatikdoktor zu haben... ist nämlich nicht so trivial und das noch mit einem Softwareanbieter adhoc mal eben zu machen auch nicht.
In einem hast Du recht... es sind definitiv elektronische Postkarten aber leider kann ein Anwender eben nicht OUT OF THE BOX per Klick auf ein Icon oder so e-Mails verschlüsseln und genau da setzt ja die Kritik bei Apple und man kann auch ruhig das Windows 7 oder 8 nehmen, denn da ist ja auch nichts eingebaut, das mir hilft mit Freunden echte verschlüsselte e-mails auszutauschen.
Fazit: Es ist nicht wirklich generell nur der Anwender das Problem sonder auch die Hersteller und unsere Gesellschaft. Die Gesellschaft ist generell extrem naiv denn man glaubt das Mähr, das die für die persönliche Sicherheit und für das Private automatisch gesorgt wird (typisch Deutsch) und die Wirtschaft hat überhaupt kein Interesse ebenso nicht unsere Regierung, das der Bürger seine Kommunikation und anderes privat hält oder gar Hürden via Verschlüsselung nutzt. Daher wird der Aufwand und Zugang zu solchen Dingen hoch geschraubt... nur wer sich intensiv damit befasst kann das verwenden. Wissen schützt und derzeit wird ja massiv in Deutschland der Bürger auf Verblödung und schlechte Ernährung getrimmt.
Natürlich ist es nicht nur ein Anwender Problem, aber das ändert nichts daran das es dumm ist zu Glauben das Emails sicher für sensible Daten sind, da dieses schon lange bekannt ist.
Seriennummern für Software gehört für mich im übrigen nicht zu der Gruppe sensibler Daten
Wer in einer Mail Kontodaten und Passwörter übermittelt ist ein Vollidiot und hat es nicht anders verdient. Verschlüsselung von Mails ist Aufgäbe des Nutzers! nicht des Providers, ganz abgesehen davon, dass praktisch kein Provider Mails verschlüsselt.
Was für ein Nonsens.
Die Email-Übertragung per SMTP und iMAP bezieht sich ja nur auf den direkten Emailverkehr zwischen dem Rechner des Nutzers und dem Server selbst.
Schicke ich die Mail an einen anderen Nutzer, dann muss danach ja auch noch gegeben sein, dass der iCloud-Mailserver dem Mailserver des anderen Nutzers die Mail per verschlüsseltem SMTP übergeben kann.
Sprich es muss so oder so eine vollständige Kette der Verschlüsselung geben, Somit ist auch die Annahme von Heise "da muss nur einer auf dem BAckbone mitlesen" auch dann gegeben, wenn der entfernte Mailserver eben selbst SMTP over TLS nicht kann.
Oh Mann, die Fanboys schon wieder. Apple verschlüsselt nicht, also ist verschlüsseln Schwachsinn...
Was den nun Fanboys oder ich habe nichts zu verbergen Boys? Wo findest du denn den Hinweis das Verschlüsselung Schwachsinn ist?
Verschlüsselt Google? gmx? Web.de? Nein? egal. Aber wenn Apple nicht verschlüsselt, uiuiui...
Was für ein Desaster für Apple, wiedermal.
Ich hoffe sehr, dass Köpfe der Verantwortlichen rollen werden.
Und das Feedback, das Heise auf seine Kontaktversuche von Apple bekam, begründet den Rausschmiss der Personen.
Lest den Artikel auf heise, und plappert hier nicht was von Postkarten.
Übrigens selbst Tilo Weichert Datenschutzbeauftragter von Schleswig Holstein vergleicht Emails mit Postkarten. Sicher ein Fanboy
Das wäre mal wieder innovativ: Das Apple Mail Programm erzeugt beim
ersten Start ein PGP Schlüsselpärchen und legt es ab. Der öffentliche
Schlüssel wird auf dem Desktop abgelegt und auf öffentliche
Schlüsselserver hochgeladen. Im Hintergrund prüft Mail ob der
Empfänger auch einen Schlüssel hat und verschlüsselt die Mail bevor
sie versendet wird. Der Nutzer bekommst das mit wenn er nach seinem
Passwort für die Verschlüsselung gefragt wird. Ansonsten geht die
Mail im Klartext raus. Dann kann man seine eMail Adresse behalten und
muss nicht mit Wegwerfadressen arbeiten. Ich ziehe ja auch nicht um,
wenn Werbeprospekte im Briefkasten landen.
Übrigens habe ich ein kostenloses Videotraining zu PGP auf OSX und iOS veröffentlicht: http://pgpfueralle.wordpress.com
Glaubt mir, die Typen die Mails abfangen um zu lesen sind auch in der Lage verschlüsselte Mails zu hacken. Für jede Codierung gibt es eine Decodierung nur für uns Normaluser nicht. Wer dies bedenkt, braucht sich auch keine Sorgen machen.
Es geht darum, den Stand der Technik umzusetzen.
Und soweit ich das verstanden habe braucht Apple dafür nicht zig Millionen zu investieren und 50 neue Mitarbeiter einzustellen, sondern nur Serversoftware zu aktualisieren, und diese richtig zu konfigurieren.
Außerdem gehts auch um die eigentliche, schlechte Nachricht:
Jede Firma lebt von ihrem Image, und diese Nachricht ist schlecht fürs Image weil andere Firmen und viel kleine Firmen es viel besser machen, außer Microsoft natürlich.
Geht in den Wald, baut euch ne Holzhütte und lebt abgeschnitten von der Zivilisation. Ein Problem weniger.
E-Mails sind viel unsicherer als postkarten!
Die postkarte sehen ein paar menschen in den verteil- und sortier-anlagen und der eine postbote. Das waren früher sogar alles beamte, die als "staatsdiener" dem gesetz besonders verpflichtet waren. Z.b. ist schon der versuch einen beamten zu bestechen strafbar. Privat-wirtschaftlich ist bestechung an sich aber nicht strafbar. Wenn ein beamter "mist baut", riskiert er seine gesamte pension. Wenn ein angestellter "mist baut", ändert das nichts an seiner rente.
Die E-Mail läuft erst mal über mehrere rechner zum Internet-anbieter, von da über andere rechner anderer internet-anbieter zum rechner des E-Mail-dienstleisters. Diese strecke kann man durch einen klick in den optionen vollautomatisiert verschlüsseln lassen. Apple macht das anscheinend nicht.
Dann läuft die E-Mail vom E-Mail-dienstleister des senders über mehrere rechner mehrerer internet-anbieter ("Backbone") zum rechner des E-Mail-dienstleister des empfängers. Diese übertragung kann problemlos ende-zu-ende zwischen den E-Mail-dienstleistern verschlüsselt werden. Apple macht das anscheinend nicht.
Die postkarte müsste man abfotografieren ("scannen") und dann mit schrift-erkennung versuchen(!) den text zu digitalisieren.
Die E-Mail ist aber bereits automatisch verarbeitbarer text. Bereits ein einfacher standart-Mac kann zigtausende E-Mails pro sekunde nach stichwörtern absuchen und interessante inhalte kopieren und weiterleiten.
In manchen privat-wirtschaftlichen firmen steht die schnüffelei in den daten offen in der AGB, z.b. bei Google.
Jeder hat etwas zu verbergen, das nennt man privatsphäre. Beispielsweise wurden 1925 und 1933 volkszählungen durchgeführt. Die Nazis haben dann später diese daten gegen die jüdische bevölkerung verwendet - ganz ohne computer. Heutzutage wollen arbeitgeber, verkäufer und krankenkassen viel mehr über dich wissen, als dir lieb ist. Aus den daten enstehen dann indirekt höhere kosten für dich (höhere gewinne für die aktionäre) oder sogar arbeitslosigkeit. Und was in 10 oder 20 jahren mit den daten gemacht wird, das kann heute keiner sagen. Google, die NSA und andere wollen dazu nichts sagen, planen aber langfristig.
Interessant. Auch hier gibt es die "Ich-habe-nichts-zu-verbergen"-Fraktion. Leute, jeder von euch hat etwas zu verbergen: Nämlich sein Privatleben. Genau aus diesem Grund haben manche Menschen Gardinen am Fenster, schließen beim verlassen ihrer Wohnung die Tür ab oder nutzen Passwörter. Es geht keine Institution der Welt etwas an, was ich wem schreibe oder mit wem ich verkehre. Aus Prinzip nicht. Leute, die Mantra-mäßig behaupten, sie hätten nichts zu verbergen, können ja gerne hier ihre Passwörter posten oder andere Dienste öffentlich zugänglich machen. Und noch etwas: Aus Erfahrung weiss ich, das diijenigen, die immer am lautesten schreien, sie hätten nix zu verbergen, meistens genau am meisten zu verbergen haben :D
Abgesehen davon: Man weiss nie, was für Leute oder Regime in 10-20 Jahren das Sagen haben werden. Weiss hier einer von euch, was er mal vor 10 Jahren im Netz geschrieben hat? Und ob das nicht möglicherweise eines Tages gegen einen verwendet werden könnte? Ich wäre vorsichtig mit der Behauptung, das man nichts zu verbergen hätte. Kein Staat der Welt hat das Recht, seine Bürger ohne Verdachtsmomente zu kontrollieren. Aber da kommt ja das Totschlag-Argument immer wieder gerne ins Spiel: Der Kampf gegen den "Terror" und "Kriminelle". Nur, das sich die, die dagegen angeblich kämpfen, genau derselben Methoden und Illegalitäten bedienen. Für mich ist die NSA genauso kriminell wie "echte" Cyber-Kriminelle.