蘋果破解了iMessage安全漏洞

根據(jù)安全公司Quarkslab的最新研究，蘋果公司(Apple)的即時(shí)通訊服務(wù)iMessage顯然沒有我們最初想象的那么安全。

今年夏天，當(dāng)有關(guān)美國(guó)國(guó)家安全局(NSA)間諜項(xiàng)目的爆料首次浮出水面時(shí)，蘋果迅速采取行動(dòng)掩蓋其蹤跡，指出其iMessage應(yīng)用程序非常安全，甚至無法解密和攔截通信。然而，QuarksLab在2013年10月17日的馬來西亞黑客大會(huì)上發(fā)布了一份白皮書，聲稱如果蘋果真的想解密imessage，它實(shí)際上是可以做到的。從那以后，我們看到了一波又一波的頭條新聞，聲稱即使是蘋果臭名昭著的鎖定服務(wù)也很容易被政府監(jiān)控。

在這項(xiàng)研究中，Quarkslab的西里爾·卡提奧斯指出，加密并不是唯一重要的事情:

正如蘋果公司所宣稱的，有端到端的加密技術(shù)。弱點(diǎn)在于關(guān)鍵的基礎(chǔ)設(shè)施，因?yàn)樗怯商O果控制的，他們可以隨時(shí)更換鑰匙，因此可以閱讀我們的imessage的內(nèi)容。”

Quarkslab的研究人員表示，他們通過添加一個(gè)假的安全證書，成功實(shí)施了所謂的“中間人”攻擊。他們聲稱imessage缺乏一種叫做“證書固定”的東西，即imessage只確定一個(gè)特定的證書或證書的數(shù)量是可信的。

研究人員還發(fā)現(xiàn)，用戶的AppleID和密碼是通過SSL明文傳輸?shù)?，如果蘋果愿意，它可以看到密碼。Quarkslab表示，這意味著蘋果——或任何情報(bào)機(jī)構(gòu)——可能會(huì)重放密碼。

這也意味著可以訪問任何人的iCloud賬戶，只需添加一個(gè)假證書，并對(duì)通信進(jìn)行代理，獲取他們的AppleID和密碼。

《連線》雜志(Wired)的馬修?霍南(Matthew Honan)去年發(fā)現(xiàn)，如果黑客掌握了某人的密碼，可能會(huì)造成相當(dāng)大的損失。

Quarkslab表示，iPhone的配置實(shí)用程序可以讓企業(yè)管理iPhone，它可以在不可見的情況下代理與設(shè)備之間的通信，從而獲取個(gè)人信息。蘋果的推送通知服務(wù)是另一個(gè)薄弱環(huán)節(jié)。

此外，關(guān)于消息的元數(shù)據(jù)是敏感的——蘋果擁有這些元數(shù)據(jù)。

研究人員得出的結(jié)論是，蘋果不太可能閱讀任何人的imessage，但他們警告說，“如果他們?cè)敢猓蛘哒钜笏麄冞@樣做，蘋果可以閱讀你的imessage?！?/p>

然而，在今天的All Things D上發(fā)表的一份聲明中，蘋果反駁了這項(xiàng)研究，并表示即使它想攔截信息，也無法攔截。

“iMessage的架構(gòu)不允許蘋果讀取信息，”蘋果發(fā)言人說。

“研究討論了理論上的漏洞，這些漏洞將要求蘋果重新設(shè)計(jì)iMessage系統(tǒng)來利用它，而蘋果沒有這樣做的計(jì)劃或意圖?！?/p>

問題是，隨著有關(guān)美國(guó)國(guó)家安全局監(jiān)控范圍的源源不斷的信息，它最終會(huì)成為一個(gè)信任問題。雖然蘋果聲稱它無法讀取你的imessage，但如果它有一個(gè)有效的目標(biāo)，像美國(guó)國(guó)家安全局這樣的人很可能會(huì)強(qiáng)迫它這樣做。此外，此前有報(bào)道稱，微軟(Microsoft)和Skype等公司在其服務(wù)器上安裝了所謂的“后門”，使得加密數(shù)據(jù)可以很容易地獲取。

在Springpad上找到更多與安全相關(guān)的故事。 在Springpad上查看安全趨勢(shì)筆記本