虽然爱德华·斯诺登在《棱镜》上的爆料引起的第一次爆炸仍在引起共鸣,但受牵连的网络巨头却轮流安抚他们的用户。
其中,苹果。这家库比蒂诺巨头表示,iMessage 和 FaceTime“受到端到端加密的保护,除了发送者和接收者之外没有人可以看到或读取”。蒂姆·库克的公司甚至明确表示“无法解密此数据”。
在可能性与现实之间
包括 Pod2g(真名 Cyril Cattiaux)在内的两名黑客,他们在 iOS 领域无论是单独还是团队中都取得了杰出的成就,据他们称,他们已经证明情况并非完全如此。如果通信确实被加密,苹果就有可能解密其用户的通信,或者将必要的密钥委托给政府机构。
不过要小心,重要的澄清是,两名黑客表示,没有任何证据证明苹果已经这样做或打算这样做。“我们的说法是:如果苹果公司选择这样做或者政府命令强迫他们这样做,他们可以读取你的 iMessages”。“我们不会说的是:苹果会读取你的 iMessage。 »,我们在 Quarkslab 的博客上读到,Quarkslab 是他们工作的(法国)计算机安全研究公司。
加密但安全性不完善
iMessage 背后的专有协议,这是一种在 iOS 设备和 Mac OS 之间建立的基于文本的即时消息系统逆向工程。他们发现苹果控制着管理加密密钥的基础设施——控制服务器的密钥并存储用户的密钥。
从技术上讲,消息传递服务通过使用 Apple 的 PUSH 通知服务来工作,该服务在设备和 Apple 的安全 (SSL) 服务器之间保持永久的 IP 连接。“几乎所有数据流量都是加密的”,在他们的帖子中解释了两位研究人员。“与 Apple 服务器的所有通信都是通过安全的 SSL 隧道完成的”,他们继续。然而,所使用的协议并不将主机与特定证书相关联,这为此类潜在攻击打开了大门中间的人(中间人)。“当我们发现【系统如何运作】是添加一个证书来执行 MITM 类型的攻击。我们非常惊讶地发现它如此简单”。
两位研究人员还发现,Apple ID(用于在 Apple 提供的所有服务中识别您的身份)和密码均以明文形式传输。“我们认为苹果没有理由访问我们的密码”,他们写道。
苹果:这不是我们的本意
然而,苹果公司通过美国网站 All Things D 对这次演示做出了反应。“iMessage 架构的设计目的不是让 Apple 读取消息”,该集团发言人宣布。“这项研究扩展了理论上的缺陷,这意味着苹果正在重新开发 iMessage 系统以便使用它们。苹果没有计划也无意这样做”。
技术、法律和伦理辩论
Pod2g 和 gg 也在推特上发布了苹果的回应,但在之前的推文中表示,在这件事上还有更多工作要做,还会有更多内容需要宣布。无论关于这一点的下一个信息是什么,事实仍然是加密服务,例如他会洗我们最近与您讨论过,该公司受到美国当局的压力,要求披露锁定用户数据访问权限的加密密钥。
这也是对 Quarkslab 帖子的介绍,该帖子提出了不妥协的加密解决方案的问题。苹果公司不可能“监听”用户的通信受到质疑。重新发起关于互联网用户远离地球秘密机构窥探的通信自由的道德辩论。
另请阅读:
我们的档案棱镜:冲浪,你正在被监视
资料来源:
Apple 对用户安全的承诺
发布你的 Quarkslab
Pod2g 和 gg 白皮书(PDF)
威胁站
万物D
