‘Apple Mail via iCloud onvoldoende beveiligd’

Apple's e-maildiensten via iCloud zijn onvoldoende beveiligd, zegt computertijdschrift C'T. Berichten worden in platte tekst verstuurd.

iwork-icloud-inloggenApple’s e-maildienst is onvoldoende beschermd tegen aftappen. Dat concludeert het Duitse computertijdschrijft C’T na het testen van Apple’s iCloud. E-mailberichten worden van en naar iCloud verstuurd zonder te versleutelen. De metadata en de inhoud kunnen dus compleet in de databases van de NSA terechtkomen, zo concludeert het tijdschrift. C’T meldt dat wanneer de ontvangende mailserver versleuteling via starttls aanbiedt, Apple daar geen gebruik van maakt. Mailadressen die eindigen op mac.com, me.com en iCloud.com bieden geen starttls aan.


Mailservers die berichten bij deze mailadressen moeten afleveren, moeten dat volgens C’T in platte tekst doen. Overigens worden e-mailberichten van Apple zelf wel versleuteld verstuurd vanaf de uitgaande mailserver mailout.apple.com.

De IMAP- en SMTP-servers van iCloud Mail versleutelen, maar bieden geen Forward Secrecy, ondersteunen alleen TLS 1.0 en gebruiken het problematische RC4-protocol. Op Wikipedia is te lezen: “In de loop van de tijd zijn echter een aantal problemen ontdekt waarmee bij het gebruik van RC4 rekening moet worden gehouden. Veel cryptografen raden het gebruik van RC4 daarom af voor nieuwe applicaties.” De webmaildienst via iCloud kan TLS 1.2 en HSTS aan, maar gebruikt ook geen Forward Secrecy.

Apple is niet de enige aanbieder die in de test van C’T door de mand valt. Ook Microsoft’s Outlook en de relatief onbekende aanbieder aikQ blijken niet goed te scoren. Alle andere aanbieders hebben in ieder geval een optie om e-mail tijdens het transport te versleutelen. C’T kaartte het probleem bij Apple aan, maar kreeg alleen een vriendelijk bedankje: “Bedankt voor de suggesties om de beveiliging te verbeteren”. Op de vraag of Apple bezig is om de beveiliging van e-mail te verbeteren, kreeg het tijdschrift geen antwoord. Wie e-mailverkeer bij de internet-backbones wil aftappen, kan dus het beste e-mail van Apple-gebruikers onderschepen.

Lees ook:

Via: iPhone-ticker

Reacties: 5 reacties

Reacties zijn gesloten voor dit artikel.