Cercetatorii universitatii John Hopkins au dezvaluit faptul ca sistemul de securitate al iMessage nu este chiar atat de puternic precum compania Apple a doreste sa il faca sa para, ei gasind metode de a accesa date care in teorie trebuiau sa fie imposibil de accesat in baza securitatii oferite de catre cei din Cupertino.
Conform explicatiilor oferite de catre cercetatori, ei au putut decripta anumite mesaje sau atasamente trimise de catre utilizatori, atat timp cat acestia erau online, metoda avand la baza interceptarea acestora folosind certificate TLS furate, lucru care nu este greu de realizat de catre multe companii care lucreaza pentru guvernele din diverse tari.
Atacul este unul foarte complex, dar realizabil de hackeri priceputi, problema mare stand in faptul ca Apple nu-si modifica in mod regulat cheile de criptare a datelor, asa cum se intampla cu alte aplicatii de mesagerie moderne, astfel ca un hacker poate accesa date trimise prin iMessage de catre utilizatori.
Separat de iMessage, atacul poate fi folosit si impotriva sistemului Handoff, care transfera date prin Bluetooth, cei de la Apple fiind notificati in noiembrie 2015 in legatura cu problema, dar ea a fost rezolvata abia in iOS 9.3
sau OS X 10.11.4, dar modificarile implementate de catre Apple au efect pe termen scurt, din pacate.Overall, our determination is that while iMessage’s end-to-end encryption protocol is an improvement over systems that use encryption on network traffic only (e.g., Google Hangouts), messages sent through iMessage may not be secure against sophisticated adversaries.
Cercetatorii in securitate informatica ii recomanda companiei Apple sa implementeze un sistem diferit de criptare a datelor, unul care sa elimine slabiciiunile prototcolului de distributie, insa e putin probabil ca Apple sa faca prea curand o schimbare de acest gen, avand in vedere ca ea ar fi una extrem de complexa.
Cei de la Apple incearca sa isi securizeze produsele impotriva hackerilor, dar si a agentiilor de securitate ale diverelor guverne straine, sau a companiilor de securitate care lucreaza pentru ele, insa eforturile sunt deocamdata departe de a avea rezultatele dorite.
This post was last modified on aug. 14, 2016, 4:42 PM 16:42