Apples iCloud verschickt und empfängt Mail im Klartext

Milde formuliert: Nachholbedarf!

Mist, jetzt weiß die NSA was ich meiner Freundin auf den Einkaufszettel geschrieben habe...

Ich glaube es macht keinen Unterschied ob Du verschlüsselst oder nicht. Die NSA kommt mit deren Methoden an alles ran was sie will. Ein iPhone ist da das kleinste Hinderniss. In Fort Meade lachen die sie wahrscheinlich krumm und schief über solche "Enthüllungen"...

Hast ja recht, wer will schon Deine Emails lesen.
Schön, wenn Du so ein cleanes Leben hast. Und alle die, die Du anmailst.
Es geht aber nicht immer nur um Dich.
Denn, warum macht das die NSA überhaupt?

Mist, jetzt habe ich den Themenwechsel mitgemacht.
Thema ist hier Apple, nicht NSA.

Na wegen den ganzen Terroristen und Feinden der USA...

Die Diskussion wurde 1000x hier geführt und ganz sicher ist keiner von uns für die NSA so interessant als das sie uns aktiv abhört oder mitliest. Aber nach jedem neuen Artikel muss ja auch hier ein neues Thema dazu erstellt werden.

Wenn es Dich nicht interessiert, weil Du Dich nicht betroffen fühlst, warum schreibst Du dann was dazu?
NSA war ein Zitat von Heise.
Und Du bist darauf angesprungen. (und ich auf Dich)

Nochmals:
"To whom it may concern:"
iCloud-Mails sind offen wie ein Scheunentor.

Meine Postkarte wird unverschlüsselt von der Post zum Empfänger transportiert.

Milde formuliert: Nachholbedarf.

Du unterstellst mir das es mich nicht interessiert. Natürlich sollte man schon auf seine Datensicherheit achten aber warum muss dazu immer ein neues Thema eröffnet werden. Es ist mir auch zuwider zu diskutieren wer auf wen oder was anspringt. Und die Reihenfolge hast Du ins Spiel gebracht und musst das nun nicht verdrehen. Aber egal...wo und was ich schreibe darfst Du mir überlassen und wenn Du drauf anspringst wenn ich meine Meinung dazu gebe ist es dein Problem.

Nochmals: Deine Mails müssen nicht durch eine Cloud (von mir aus Apple) gesendet werden um kompromittiert zu sein.

Das ist doch was gaaaanz anderes!

Also ich glaube der Artikel ist etwas mißverständlich. Es geht dort um Server zu Serverkommunikation. Denn zumindest bei mir, der ich meinen iCloud-Account mit Outlook 2011 nutze kann ich sowohl beim IMAP und SMTP-Server SSL angeben ohne eine Fehlermeldung zu erhalten. Welche Qualität diese SSL-Verschlüsselung hat mag ich jetzt nicht testen da kenn ich ich zuwenig mit dem Thema aus.
Ich hoffe aber das auch Mail und die restlichen iCloud Bestandteile zwischen Client und Server die Daten verschlüsseln. Was dann "hinter" dem Server passiert... kann ja mal jemand hin fahren und nach schauen

Der Artikel ist nur eine nachgeschobene Meldung zu 'nem ausführlichen c't-Artikel. Besonders geil fand ich ja die Aussage der Redakteure, warum sie iCloud überhaupt nachreichen mussten: "Keiner von uns kam auf die Idee, dass man seine Mails bei Apple aufbewahren könnte ..."

Und wenn ein Mailserver mit einem anderen Mailserver die Kommunikation per TLS absichern kann und es dann nicht tut, dann hält es der Betreiber des ersten Servers mit der Sicherheit eher lax. Da braucht man ausnahmsweise mal nicht Richtung Dreibuchstabenvereinen schielen. Das ist einfach schwach, weil man das Abgreifen von Klartextkommunikation erleichtert, d.h. ohne Not noch an viel mehr Stellen den Inhalt der Mails exponiert.

Die großen Schwachmatenprovider hierzulande haben das ja auch nie gemacht und dann allen Ernstes, als dann endlich mal ein klitzekleiner Hauch Sensibilisierung bei den Kunden aufkam, frech behauptet, sie würden jetzt per "E-Mail made in Germany" irgendwas sicherer machen (dabei verschweigend, dass sie genauso wie Apple ohne Not Standards, die's halbe Ewigkeiten gibt, einfach nicht genutzt haben und jetzt das Nachholen ihres Versäumnisses als große Innovation sehen wollen):

https://netzpolitik.org/2013/e-mail-made-in-germany-deutsche-telekom-web-de-und-gmx-machen-ssl-an-und-verkaufen-das-als-sicher/

Dann kommt eine unnötig schwache Variante von TLS Richtung Apples SMTP-Server zum Zuge, bei Apple liegt der Kram im Klartext vor und wenn die Mail an einen Nicht-Apple-Cloud-Kunden gehen soll, geht's im Klartext weiter. D.h. dass die erste Strecke schwächlich per TLS abgesichert war, ist eigentlich einigermaßen egal, weil Apple ohne Not auf dem weiteren Transportweg TLS selbst wenn angeboten wird, nicht nutzt. Das

a) ist blöd, weil es ohne Not Mails noch an viel mehr Stellen abgreifbar macht als eh schon, wenn keine Ende-zu-Ende-Verschlüsselung im Spiel ist

b) hat nicht wirklich was mit Sicherheit zu tun (weil auf Apples Servern ja eh alles im Klartext abgegriffen werden kann, dito bei anderen Mail-Provider und auf der "letzten Meile" zum Empfänger)

c) erspart einem Herrn Cook aber ein wenig das Lügen, weil der dann behaupten kann, Apple hätte keine Hintertüren Richtung NSA (brauchen sie ja nicht, wenn die Mails an Internet-Knotenpunkten als Postkarte statt ausreichend geschützt vorbeisausen bzw. eingesaugt werden können)

Das ist ja der Witz, dass das aus Security-Laien-Sicht toll klingt aber de facto völlig egal ist. Apple tönt auch hochtrabend herum, wie super stark verschlüsselt doch die Inhalte in der iCloud seien. Mag ja stimmen. Nur dass die Schlüssel, um an den Kram ranzukommen, nicht beim User sondern neben den verschlüsselten Daten ebenfalls in der iCloud liegen (und damit eben bei NSA&Co.) blendet dann schon wieder jeder fröhlich aus.

Die heise-Security-Leute haben unter anderem da grad wieder was dazu beigetragen -- konkret in der Meldung, um die's jetzt grad geht. Und auch der Rest ist eigentlich sattsam bekannt. Die bittere Erkenntnis, wie Scheize die Lage wirklich ist, will aber niemand wahrhaben...

Thomas Kaiser
Danke!

Thomas
Man da hast du mich aber jetzt auseinander genommen und meinen letzten Satz unberücksichtigt gelassen. Wir wissen doch alle das Internet unsicher ist. Da sind soviele Stellen an denen man zuhöhren kann, die kann man gar nicht alle zählen. Und beeinflussen auch nicht wenn man nicht alles selber programmiert. Und selbst das ist nicht sicher da keiner fehlerfrei arbeitet.
==> jeder erneuter Aufschrei das irgendwo was unsicher sei wie im 1. Post ist unnötig weil eigentlich eh allen bekannt ;

Basic Thinking (14.02.2014): Leider immer noch: iCloud-Mails werden im Klartext versendet

+1

Passt thematisch, bin grad' via RSS-Feed drüber gestolpert:

Reverse Engineering Mac OS X, Reverse Engineering and Security for fun and pleasure (15.02.2014): AppleDoesntGiveAFuckAboutSecurity iTunes Evil Plugin Proof of Concept

Jein,

denn Gewerblich, zuviel Zeit und Energie vorausgesetzt, kaum was anderes…

denn eigentlich werden die eingesammelt, in Sortieranlagen verteilt und zugestellt…auf diesem Weg, nutzt kaum bis niemand die Möglichkeit diese dann zu mit OCR zu scannen, auszuwerten, zuzuordnen und natürlich zu speichern…die Kosten wären imho relativ hoch…aber man könnte, so…oder auf den Weg Daten abgreifen und Schindluder treiben…mit Mails allerdings nur den Bruchteil an Aufwand

…genauso sehe ich das mit iTunes…die paar Cents, die sich so regulärerweise abgreifen lassen, wenn überhaupt ein Zugang/Guthaben gespeichert ist.
…na wie auch immer…
…
und: Zugegeben, manche leben davon
…

Bei Apple wurde immer schon geschlampt, als man Windows Update fuer OS-X nachgebaut hatte gabs zunaechst auch null Security.
Wenn ich mich richtig erinnere war da alles Plaintext und jeder konnte sich als Apples Update Server ausgeben.

Scusa, sollte eigentlich nur ein inhaltliches Nachhaken sein.

Ich bin schon der Meinung, dass diese Themen immer wieder aufgegriffen gehören. Und weil Kontext Apple auch hier. Und jeder Apple-User, der diese Dienste nutzt, sollte über http://www.apple.com/feedback/icloud.html Apple mitteilen, dass er angesichts der Gesamtsituation ein möglichst sofortiges Abstellen der Mißstände erwartet.

Und hat das zu Exploits geführt?

Die NSA macht das seit den 40ern schon bei Telegrammen (Operation Shamrock): http://animalnewyork.com/2013/the-nsa-has-always-been-spying-on-you/ (wurde in den 70er nach Bekanntwerden/Protesten eingestellt, damals gab's dann neue Gesetze, die die Allmacht der Geheimdienst zurückdrängen sollten aber seit 9/11 wurde das alles in die Tonne getreten bzw. im großen Stil mißachtet).

Und bzgl. OCR, tja: http://rt.com/usa/us-nsa-mail-spying-706/

Weiss ich nicht, aber Stand der Technik wars bestimmt nicht, eher schon etwas peinlich.

Obs aus Zeitmangel, Faulheit oder technischem Unvermoegen so released wurde weiss nur Apple selbst.

Gab es (wieviele davon nur ausgenutzt und nie an die große Glocke gehängt wurden, sei mal dahingestellt): http://cert.uni-stuttgart.de/ticker/article.php?mid=871

Apple hatte erst reagiert, nachdem der Exploit veröffentlich wurde.