雖然愛德華·斯諾登在《棱鏡》上的爆料引起的第一次爆炸仍在引起共鳴,但受牽連的網路巨頭卻輪流安撫他們的用戶。
其中,蘋果。這家庫比蒂諾巨頭表示,iMessage 和 FaceTime“受到端對端加密的保護,除了發送者和接收者之外沒有人可以看到或讀取”。蒂姆·庫克的公司甚至明確表示“無法解密此資料”。
在可能性與現實之間
包括 Pod2g(真名 Cyril Cattiaux)在內的兩名駭客,他們在 iOS 領域無論是單獨還是團隊中都取得了傑出的成就,據他們稱,他們已經證明情況並非完全如此。如果通信確實被加密,蘋果就有可能解密其用戶的通信,或將必要的金鑰委託給政府機構。
不過要小心,重要的澄清是,兩名駭客表示,沒有任何證據證明蘋果已經這樣做或打算這樣做。“我們的說法是:如果蘋果公司選擇這樣做或政府命令強迫他們這樣做,他們可以讀取你的 iMessages”。「我們不會說的是:蘋果會讀取你的 iMessage。 »,我們在 Quarkslab 的部落格上讀到,Quarkslab 是他們工作的(法國)電腦安全研究公司。
加密但安全性不完善
iMessage 背後的專有協議,這是一種在 iOS 裝置和 Mac OS 之間建立的基於文字的即時訊息系統逆向工程。他們發現蘋果控制著管理加密金鑰的基礎設施——控制伺服器的金鑰並儲存用戶的金鑰。
從技術上講,訊息傳遞服務透過使用 Apple 的 PUSH 通知服務來運作,該服務可在裝置和 Apple 的安全性 (SSL) 伺服器之間保持永久的 IP 連線。“幾乎所有資料流量都是加密的”,在他們的帖子中解釋了兩位研究人員。“與 Apple 伺服器的所有通訊都是透過安全的 SSL 隧道完成的”,他們繼續。然而,所使用的協定並不將主機與特定憑證相關聯,這為此類潛在攻擊打開了大門中間的人(中間人)。“當我們發現【系統如何運作】是新增一個憑證來執行 MITM 類型的攻擊。我們非常驚訝地發現它如此簡單”。
兩位研究人員還發現,Apple ID(用於在 Apple 提供的所有服務中識別您的身分)和密碼均以明文形式傳輸。“我們認為蘋果沒有理由訪問我們的密碼”,他們寫道。
蘋果:這不是我們的本意
然而,蘋果公司透過美國網站 All Things D 對這次演示做出了反應。“iMessage 架構的設計目的不是讓 Apple 讀取訊息”,該集團發言人宣布。「這項研究擴展了理論上的缺陷,這意味著蘋果正在重新開發 iMessage 系統以便使用它們。蘋果沒有計劃也無意這樣做”。
科技、法律與倫理辯論
Pod2g 和 gg 也在推特上發布了蘋果的回應,但在先前的推文中表示,在這件事上還有更多工作要做,還會有更多內容需要宣布。無論關於這一點的下一個資訊是什麼,事實仍然是加密服務,例如他會洗我們最近與您討論過,該公司受到美國當局的壓力,要求披露鎖定用戶資料存取權限的加密金鑰。
這也是 Quarkslab 帖子的介紹,該帖子提出了不妥協的加密解決方案的問題。蘋果公司不可能「監聽」用戶的通訊受到質疑。重新發起關於網路使用者遠離地球秘密機構窺探的通信自由的道德辯論。
另請閱讀:
我們的檔案棱鏡:衝浪,你正在被監視
資料來源:
Apple 對使用者安全的承諾
發佈你的 Quarkslab
Pod2g 和 gg 白皮書(PDF)
威脅站
萬物D
