蘋果破解了iMessage安全漏洞

根據(jù)安全公司Quarkslab的最新研究，蘋果公司(Apple)的即時通訊服務iMessage顯然沒有我們最初想象的那么安全。

今年夏天，當有關美國國家安全局(NSA)間諜項目的爆料首次浮出水面時，蘋果迅速采取行動掩蓋其蹤跡，指出其iMessage應用程序非常安全，甚至無法解密和攔截通信。然而，QuarksLab在2013年10月17日的馬來西亞黑客大會上發(fā)布了一份白皮書，聲稱如果蘋果真的想解密imessage，它實際上是可以做到的。從那以后，我們看到了一波又一波的頭條新聞，聲稱即使是蘋果臭名昭著的鎖定服務也很容易被政府監(jiān)控。

在這項研究中，Quarkslab的西里爾·卡提奧斯指出，加密并不是唯一重要的事情:

正如蘋果公司所宣稱的，有端到端的加密技術。弱點在于關鍵的基礎設施，因為它是由蘋果控制的，他們可以隨時更換鑰匙，因此可以閱讀我們的imessage的內(nèi)容?！?/p>

Quarkslab的研究人員表示，他們通過添加一個假的安全證書，成功實施了所謂的“中間人”攻擊。他們聲稱imessage缺乏一種叫做“證書固定”的東西，即imessage只確定一個特定的證書或證書的數(shù)量是可信的。

研究人員還發(fā)現(xiàn)，用戶的AppleID和密碼是通過SSL明文傳輸?shù)模绻O果愿意，它可以看到密碼。Quarkslab表示，這意味著蘋果——或任何情報機構(gòu)——可能會重放密碼。

這也意味著可以訪問任何人的iCloud賬戶，只需添加一個假證書，并對通信進行代理，獲取他們的AppleID和密碼。

《連線》雜志(Wired)的馬修?霍南(Matthew Honan)去年發(fā)現(xiàn)，如果黑客掌握了某人的密碼，可能會造成相當大的損失。

Quarkslab表示，iPhone的配置實用程序可以讓企業(yè)管理iPhone，它可以在不可見的情況下代理與設備之間的通信，從而獲取個人信息。蘋果的推送通知服務是另一個薄弱環(huán)節(jié)。

此外，關于消息的元數(shù)據(jù)是敏感的——蘋果擁有這些元數(shù)據(jù)。

研究人員得出的結(jié)論是，蘋果不太可能閱讀任何人的imessage，但他們警告說，“如果他們愿意，或者政府命令要求他們這樣做，蘋果可以閱讀你的imessage?！?/p>

然而，在今天的All Things D上發(fā)表的一份聲明中，蘋果反駁了這項研究，并表示即使它想攔截信息，也無法攔截。

“iMessage的架構(gòu)不允許蘋果讀取信息，”蘋果發(fā)言人說。

“研究討論了理論上的漏洞，這些漏洞將要求蘋果重新設計iMessage系統(tǒng)來利用它，而蘋果沒有這樣做的計劃或意圖?！?/p>

問題是，隨著有關美國國家安全局監(jiān)控范圍的源源不斷的信息，它最終會成為一個信任問題。雖然蘋果聲稱它無法讀取你的imessage，但如果它有一個有效的目標，像美國國家安全局這樣的人很可能會強迫它這樣做。此外，此前有報道稱，微軟(Microsoft)和Skype等公司在其服務器上安裝了所謂的“后門”，使得加密數(shù)據(jù)可以很容易地獲取。

在Springpad上找到更多與安全相關的故事。 在Springpad上查看安全趨勢筆記本