Nachdem Apple endlich die ständigen Downtimes bei Services wie iCloud oder iMessage in den Griff bekommen hat, gibt es laut den Kollegen von heise.de eine gravierende Sicherheitslücke bei den iCloud E-Mails.
“Apples iCloud Mail-Server liefern E-Mails offenbar grundsätzlich unverschlüsselt bei den jeweiligen Empfängern an; selbst wenn die empfangenden Mail-Server Verschlüsselung via starttls anboten, haben die Apple-Server diese Option bei unseren Tests nicht genutzt. Die für Adressen mit den charakteristischen Endungen @mac.com, @me.com und @icloud.com zuständigen Mail-Eingangs-Server (MX) bieten gar kein starttls an; ein Server, der eine Mail an eine solche Adresse loswerden will, muss die notgedrungen ebenfalls im Klartext abliefern. Wer E-Mail-Verkehr auf den Internet-Backbones einsammelt, hat bei Apples iCloud-Kunden also leichtes Spiel.”
Das bedeutet, dass alle E-Mails komplett unverschlüsselt, also als Klartext verschickt werden. Weiter heißt es, man habe Apple darüber informiert und ein Dankeschön für „Vorschläge zur Verbesserung der Sicherheit“ als Antwort erhalten. Ob Apple die E-Mails in Zukunft verschlüsseln wird bleibt abzuwarten.
Übrigens: Auch der Musik-Identifikationsdienst Shazam (getestet wurde eine Applikation unter Android) erhält ein vernichtendes Urteil:
“Der Musikerkennungsdienst Shazam ermittelt die genaue Position des Nutzers und gibt sie heimlich an Werbepartner weiter – inklusive IP-Adresse, Android-ID und Liste der installierten Apps. Was die Werber damit anstellen, geben sie nicht Preis. (…) Mit den Daten ist der Betreiber der Seite theoretisch in der Lage, ein genaues Bewegungsprofil des Anwenders zu erstellen, wenn er die Shazam-App regelmäßig nutzt.”