Noha az iMessage az end-to-end titkosítással, az üzenetek szerveroldalon történő visszafejtésének lehetetlenné tételével tényleg biztonságos üzenetküldő szolgáltatásnak tűnik - a terroristák is nagyon szeretik használni, ami tényleg a hardcore célközönség elismerését jelenti -, mégis vannak problémák vele. A Johns Hopkins egyetem adott ki egy dokumentumot, amiben egy "ciphertext támadás" elnevezésű módszert ismertetnek. Ezzel visszamenőleg tudnak feltörni bizonyos iMessage-dzel elküldött információkat, csatolmányokat, amnnyiben bármelyik fél épp online található.
Ez nem egy egyszerű törés: szükséges feltétele, hogy a támadó egy lopott TLS tanúsítvánnyal a küldő és a fogadó fél között helyezkedjen el, és láthassa a titkosított üzeneteket. A másik lehetőség, hogy az Apple szerverét érik el, és itt láthatják a beszélgetést. Vagyis nagykutyák tudják kihasználni, esetleg az USA kormánya, ha bírósági úton hozzáférést kap az Apple szerverein elérhető, titkosított adatokhoz.
Összességében az iMessage end-to-end titkosító algoritmusa fejlődés azokhoz a rendszerekhez képest, ahol csak a hálózati forgalmat titkosítják (pl. Google Hangouts), de az iMessage-ben küldött üzenetek nem feltétlenül vannak biztonságban a szofisztikáltabb támadásokkal szemben.
- írja az egyetem a doksiban.
Nem ez volt az első biztonsági rés, amit az iMessage-ben találtak. Márciusban is bukkantak már hasonló hibára az egyetem kutatói, és más helyekről is záporoztak korábban a javításra felhívó tanulmányok. Az Apple ezeket egytől egyig beépítette a rendszerbe.
Azonban ez nem elég a mostani vizsgálat szerint. Az Apple-nek le kellene cserélni a teljes iMessage titkosító algoritmusát, ami az alapvető rendszerbeli gyengeségeket küszöbölné ki (mondjuk egy olyanra, ami rotálná a titkosító kulcsokat, amit most nem tesz) - állítják a szakértők.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.