Unsicheres .Mac mangels Verschlüsselung

Posted by on Sep 17, 2007 Tagged: , , , , , , , , | 2 Comments

.Mac, Apples kostenpflichtiger Onlinedienst, ist nicht nur sehr langsam – zumindest für Europäer –, sondern auch unsicher: Verschüsselt wird lediglich die Anmeldung bei .Mac, danach erfolgt die Datenübertragung ohne Verschlüsselung… 🙄

Heise Online beschrieb die daraus resultierende Sicherheitsproblematik, insbesondere auch in offenen WLANs, kürzlich wie folgt:

[…]

Bei vielen Diensten wie beispielsweise Google Mail, erfolgt zwar die Anmeldung verschlüsselt, sodass Lauscher im Netz die Zugangsdaten, also insbesondere das Passwort, nicht mitlesen können. Der eigentliche Zugriff auf den Dienst erfolgt dann jedoch oft aus Performance- und damit Kosten-Gründen unverschlüsselt. Um die nachfolgenden Zugriffe des Web-Browsers einer Sitzung zuzuordnen, setzt die Web-Site bei der Anmeldung ein Session-Cookie, das der Browser dann bei jedem weiteren Zugriff an den Server sendet.

Gelingt es einem Angreifer, ein solches Session-Cookie abzufangen, kann er damit unter Umständen die Sitzung des Users komplett übernehmen und auch ohne das Passwort zum Beispiel dessen Mail lesen. Überhaupt kann er alles, was keine erneute Eingabe des Passworts erfordert. … Besonders gefährdet sind Nutzer von WLAN-Hotspots, weil jeder im gleichen Funknetz unverschlüsselt gesendete Daten einfach mitlesen kann. Aber auch in fest verkabelten Netzen kann ein Angreifer, der am gleichen Switch hängt, die Übertragung der Daten beispielsweise über ARP-Spoofing belauschen.

[…]

Wirklich vollständigen Schutz bietet nur die Verschlüsselung der kompletten Sitzung. Bietet der Dienstbetreiber das nicht an, können sich beispielsweise Hotspot-Nutzer vor dem neugierigen Nachbarn im Funknetz schützen, indem sie ihren kompletten Verkehr durch einen VPN-Tunnel leiten. Damit bleibt zwar der Übertragungsweg vom VPN-Endpunkt zum Web-Server ungeschützt. Aber zum Mitlauschen wäre dort dann schon Zugriff auf die Infrastruktur der Provider beziehungsweise Backbones erforderlich.

Meine entsprechende E-Mail-Anfrage wurde vom .Mac Support wie folgt beantwortet:

When you type your name and password in the .Mac login page and click Enter, your information is sent to Apple using secured 128-bit Secure Sockets Layer (SSL) encryption. This is true even though the .Mac login page doesn’t have the symbols that typically denote a secure connection.

By encrypting only your information and not the page itself, a .Mac page loads much more quickly than if the entire page were encrypted. This makes visiting .Mac a more enjoyable user experience.

Wer .Mac trotz der fehlenden Verschlüsselung nutzt, zählt offensichtlich zu den zahlreichen Mac-Benutzern mit einem geringen Sicherheitsbedürfnis… 🙁

2 Comments

  1. vernetzt
    29. März 2008

    Frust mit Mail 3…

    Ich habe ja schon länger nicht mehr so richtig rumgenörgelt, also ist es an der Zeit, meinem Frust mit Mail 3 (Leopard) Luft zu machen.

    …Nutzt man wie ich nur ein einziges E-Mail-Konto ist es nicht möglich, Aufgaben nur lokal und nicht auf dem …

  2. I. Mac
    15. Juni 2008

    Genauso bei Mobile Me! 🙁 Ganz schön schwach von Apple! Überhaupt habe ich das Gefühl dass Mobile Me einfach .Mac ein bisschen aufgehübscht und nun auch für Windoof ist.

    Reply

Leave a Reply