Den fejl, som vil blive rettet med iOS 9.3, giver den krypteringsnøgle, der anvendes af den messaging-tjeneste, der vil blive gættet med en målrettet hacker
En iPhone 4s, den første model til skibet med iMessage funktionalitet.
Foto: michael melia / Alamy/Alamy
@alexhern
Mandag, 21 Marts 2016 15.40 GMT
Senest ændret mandag, 21 Marts 2016 15.57 GMT
Forskere ved Johns Hopkins University har knækket krypteringen på Apples iMessage service, der beviser, at en dygtig hacker er i stand til at læse meddelelser, der sendes mellem iPads, iPhones og Mac-computere på trods af de sikkerhedsmæssige foranstaltninger for at beskytte enhederne.
Angrebet bygger på en fejl i iMessage, som vil blive rettet i iOS 9.3, udgivet i dag. Men indtil software-opdatering, der er frigivet, og følgesvend opdatering til Mac OS, brugeres meddelelser, der er sårbare over for aflytning fra en målrettet hacker.
Sårbarheden kommer som opmærksomhed verden over er fokuseret på Apple ‘ s kryptering protokoller. FBI er i færd med at sagsøge firmaet i et forsøg på at tvinge den til at hjælpe med at svække sikkerheden på en ældre iPhone, som var i besiddelse af pistolmand i San Bernardino skyderier, og Apple har kæmpet kraftigt imod, at mandatet.
Selv om iMessage-kryptering, som beskytter sms-beskeder, der er i transit, er ikke det samme som iPhone-kryptering, som beskytter de data, der i hvile i en individuel iPhone, i andre situationer styrken af iMessage er kryptering har også arbejdet mod lov håndhævelse. Selv Apple kan ikke selv læse (korrekt) krypteret iMessages, som førte det til at nægte en amerikansk domstol, for i September sidste år.
IMessage sårbarhed vil ikke hjælpe FBI med at bryde i til San Bernardino shooter ‘ s iPhone, men ikke underscore bemærkninger, der er fremsat af den tidligere AMERIKANSKE counter-terror-chef Richard Clarke: at al software sårbarheder, og hvis FBI ønskede simpelthen at bryde ind i iPhone, snarere end indstillet juridisk præcedens, så agenturet ville have andre måder.
“Hvis jeg var i job nu, jeg ville blot have fortalt FBI til at ringe til Fort Meade, hovedkvarter for National Security Agency, NSA, der ville have løst dette problem for ham,” Clarke fortalte NPR. “De er ikke så interesseret i at løse dette problem, som de er i at få en juridisk præcedens.”
Selv om den seneste iMessage fejl, påvirker det alle Apple-enhed, er det stadig kræver en målrettet hacker at udnytte det. Den specifikke fejl, afsløret af et hold af forskere ledet af Matthew D Grøn og først rapporteret af the Washington Post, opfordrer til, at en hacker at kunne udføre et “man in the middle” – angreb, overbevisende målet er iPhone til at oprette forbindelse til en falsk iMessage server i stedet for Apple ‘ s real-servere.
Typisk, det ville ikke hjælpe angriberen læse stjålet besked, da det er krypteret, men fejlen blev opdaget af Green team gør det let at gætte den nøgle, der bruges til at beskytte den besked. I første omgang, Grønne sig advarede Apple af de fejl, som han opdagede, ved at læse den tekniske beskrivelse af kryptering proces. Men efter et par måneder var gået og der havde været nogen fix kommende, han og hans studerende har besluttet at bygge et proof-of-concept-angreb for at vise, at fejlen var reel.
Selv om angrebet ikke afsløre krypteringsnøglen direkte, det giver mulighed for angriberen til at gætte det ved at ændre et enkelt bogstav eller ciffer i nøglen og sende det tilbage til telefonen. Hvis de gætter rigtigt, er telefonen vil bekræfte det så, der giver dem mulighed for hurtigt at opbygge viden om den rigtige krypteringsnøgle.
Denne fejl drastisk reducerer antallet af gæt er nødvendige for at gætte den krypteringsnøgle, der via brute force. Uden det, at gætte en adgangskode, ville det ikke være muligt før solen eksploderede for milliarder af år ind i fremtiden, med det, det kan gøres på en eftermiddag.
David Kennerley, for trussel forskning firma Webroot, påpegede, at den nye fejl viser, hvor vigtigt det er at holde operativsystemer op til dato. “Selvom det ikke er nemt at knække, nyheder i denne zero day exploit ankommer på et meget interessant tidspunkt. Den fortsatte debat omkring bagdøre i kryptering er kun en debat, hvis den kryptering, vi bruger til at holde vores data og kommunikation pengeskab er ikke udnyttes.
“Brugere bør altid holde deres enheder OSs op til dato – og jeg er sikker på, at Apple er meget taknemmelige for, at Johns Hopkins University for at finde fejlen – forhåbentlig inden de slemme fyre. Det er også en påmindelse om, at nogle gange endda mere højrøstede spillere, der ikke får det rigtigt første gang.”
I en erklæring, Apple har erkendt fejlen, og siger: “Apple arbejder hårdt på at gøre vores software mere sikker med hver udgivelse. Vi sætter pris på det hold af forskere, der har udpeget denne fejl, og bragte det til vores opmærksomhed, så vi kunne lappe den sårbarhed.”