Et team af forskere på
Johns Hopkins University har fundet en måde at knække åbne filer sendes krypteret øjeblikkelige beskeder i Apples iMessage app, ifølge news rapporter, der blev offentliggjort mandag.
Selv om det tog måneder at gøre, forskerne, ledet af Professor Matthew Green, var i stand til at brute-force en 64-bit krypteringsnøgle, der giver dem mulighed for at afkode et billede, fil, der er gemt i Apple ‘ s iCloud.
For at aflytte den transmission, der indeholder nøgle, de skrev software til at efterligne en Apple-server. Indberetning indeholdt et link til et foto i Apples sky og krypteringsnøglen.
Når du er i besiddelse af nøglen, forskerne ville ændre et bogstav eller et tal i den og sende den til måltelefonen. Når de har foretaget en korrekt gæt, telefonen ville erkende det. Ved at gentage den opgave tusindvis af gange, de i sidste ende knækket nøgle, og målet billedet dekrypteret.
Apple Lydhørhed
Selv om forskerne målrettet en iPhone med en ældre version af iOS-operativsystemet, Green fortalte Washington Post, at en modificeret version af angrebet ville arbejde på nyere versioner af operativsystemet. Men Apple patchet sårbarhed i en opdatering, iOS 9.3, frigivet mandag.
“Apple svarede til os meget hurtigt og tog problemet alvorligt,” team medlem Ian Miers sagde.
“Det tog lidt tid at lappe fordi det påvirket mere end bare iMessage,” fortalte han TechNewsWorld.
Tripwire har arbejdet med Apple i fortiden, og fundet det nemt at arbejde med, selv om forsinkelser mellem at rapportere et problem og løse det, der er fælles, sagde Lamar Bailey, direktør af sikkerhed, forskning og udvikling.
“Nogen stor virksomhed, der har meget populære applikationer kan tage lang tid at lave en app, fordi der er en masse test, de har med at gøre,” fortalte han TechNewsWorld.
Dårlig Sikkerhed Design
Fejlen forskerne fandt, var en implementeringsfejl, ikke et problem med Apple ‘ s kryptering algoritme, Bailey er angivet.
“Fordi det fortæller dig, når du får et ciffer til højre, det giver dig mulighed for at brute force det korrekte nummer,” sagde han. “Det er stadig tager for evigt, og det skal gøres for hver enkelt konto på telefonen, men du i sidste ende kan komme til dem.”
På grund af den indsats, det kræver at udnytte de fejl, er det ikke betragtes som en høj-niveau risiko.
“Risikoen er forholdsvis lav, da dette ikke synes at være noget, der er bredt anvendelig,” sagde Lysa Myers, en sikkerhedsekspert med
Eset.
“Risikoen for, at der ikke bruger kryptering på alle, er langt større end risikoen for brug af kryptering som en svaghed, er fundet, og hurtigt lappet,” fortalte hun TechNewsWorld.
“Risikoen for de fleste iPhone-brugere er forholdsvis lav,” bemærkede Elad Yoran, bestyrelsesformand for
KoolSpan.
“Det var en meget avanceret angreb, der kræver meningsfulde ressourcer og ekspertise til at udføre,” fortalte han TechNewsWorld.
Andre Fejl Muligt
Fordi omfanget af et angreb, der udnytter fejlen ville blive så smal, dens appel ville være begrænset.
“Den eneste sag, der giver nogen mening, er, hvis nogen var rettet mod en embedsmand, eller en berømthed,” Tripwire ‘ s Bailey sagde. “Selv da, ville det tage måneder og et væld af udstyr.”
Men den fejl kunne føre til flere opdagelser, bemærkes, Bailey ‘ s kollega Tim Erlin, direktør for IT-sikkerhed og risiko strategi.
“Ofte i de tilfælde, hvor du finder en sårbarhed i en implementering, det skaber sikkerhed forskere at kigge efter lignende typer af sårbarheder i andre implementeringer,” fortalte han TechNewsWorld. “Så vi kan se nogle opfølgning på konsekvenserne med nogle nye sårbarheder er opdaget.”
Myten om Kryptering
I de seneste uger, FBI har hyldet kryptering på Apple ‘ s telefoner og computere, som er uigennemtrængelig. Johns Hopkins forskere synes at have smidt nogle koldt vand på tanken.
“Den vigtigste take away er at kryptering er svært, selv hvis du ikke ved hvad du laver,” Miers sagde.
“Apple har nogle af de bedste kryptografiske ingeniører i den forretning, og endnu de har lavet en fejl. Forestil dig, hvad der ville ske, hvis de forsøgte at gøre noget mere kompliceret som at tilføje en bagdør,” fortsatte han.
“De samme mennesker i regeringen, der siger, bagdøre kan gøres sikkert,” Miers tilføjet, “sagde iMessage var helt sikker.”
