Ett team av forskare vid
Johns Hopkins University har funnit ett sätt att knäcka öppna filer som skickas krypterad chatt i Apples iMessage app, enligt nyheter rapporter som publicerades måndag.
Även om det tog månader att göra, forskarna, ledd av Professor Matthew Green, kunde brute force-en 64-bitars krypteringsnyckel, som tillåter dem att avkoda en bild-fil som finns lagrad i Apple ‘ s iCloud.
För att fånga upp den överföring som innehåller de viktigaste, de skrev programvara för att efterlikna en Apple-server. Överföring innehöll en länk till ett foto i Apples moln och krypteringsnyckeln.
En gång i besittning av nyckeln, forskare skulle ändra en bokstav eller en siffra i det och lämna in det till mottagartelefonen. När de gjorde en korrekt gissning, telefonen skulle erkänna det. Genom att upprepa uppgift tusentals gånger, de så småningom knäckt nyckel, och målbilden dekrypteras.
Apple Lyhördhet
Även om forskarna riktade en iPhone med en äldre version av iOS operativsystem, Grön berättade för Washington Post att en modifierad version av attacken skulle fungera på nyare versioner av operativsystemet. Men Apple lappat sårbarhet i en uppdatering, iOS 9.3, som släpptes måndag.
“Apple svarat på oss mycket snabbt och tog frågan på allvar,” team medlem Ian Miers sagt.
“Det tog lite tid att lappa eftersom det påverkas mer än bara iMessage,” han berättade TechNewsWorld.
Tripwire har arbetat tillsammans med Apple tidigare och tyckte att det var lätt att arbeta med, även om förseningar mellan rapportera ett problem och rätta till det som är gemensamt, sade Lamar Bailey, chef för säkerhet forskning och utveckling.
“Något stort företag som har mycket populärt program kan ta lång tid att fixa en app eftersom det finns en hel del tester att de har att göra,” sade han TechNewsWorld.
Dålig Säkerhet Och Design
Felet forskarna hittade var en genomförandet fel, inte ett problem med Apple ‘ s krypteringsalgoritm, Bailey noteras.
“Eftersom det talar om för dig när du får en siffra rätt, det kan du brute force rätt nummer,” sade han. “Det tar fortfarande för evigt och det måste göras för varje objekt på telefonen, men du kan så småningom komma till dem.”
På grund av den ansträngning det krävs för att utnyttja den svagheten, det kan inte anses vara en hög risk.
“Risken är ganska låg, eftersom detta inte verkar vara något som är generellt användbara,” sade Lysa Myers, en säkerhetsforskare med
Eset.
“Risken av att inte använda kryptering alls är långt större än risken med att använda krypteringsprogram som en sårbarhet finns och snabbt lagas,” sade hon till TechNewsWorld.
“Risken för de flesta iPhone-användare är relativt låg, konstaterade Elad Yoran, verkställande ordförande
KoolSpan.
“Detta var en mycket sofistikerad attack som kräver meningsfull resurser och kompetens för att utföra”, sa han till TechNewsWorld.
Andra Brister Är Möjligt
Eftersom omfattningen av en attack som utnyttjar de skulle felet vara så smal, sitt överklagande skulle vara begränsade.
“Det enda fall som det är någon mening är om någon riktar en statlig tjänsteman eller en kändis,” Tripwire ‘ s Bailey sa. “Redan då att det skulle ta månader och massor av utrustning.”
Men felet skulle leda till fler upptäckter, konstaterade Bailey ‘ s kollega Tim Erlin, chef för IT-säkerhet och risk strategi.
“Ofta i de fall där du hittar en sårbarhet i ett genomförande, det orsakar säkerhet forskare att leta efter liknande typer av sårbarheter i andra implementeringar,” han berättade TechNewsWorld. “Så vi kan se vissa följer-på konsekvenserna med några nya sårbarheter upptäckts.”
Myten om Kryptering
Under de senaste veckorna, FBI har hyllats kryptering på Apples telefoner och datorer som ogenomtränglig. Johns Hopkins forskare verkar ha kastat några kallt vatten på den idén.
“Den viktigaste takeaway är att kryptering är svårt, även om du vet vad du gör,” Miers sagt.
“Apple har några av de bästa kryptografiska tekniker i verksamheten, och ändå har de gjort ett misstag. Tänk vad som skulle hända om de har försökt att göra något mer komplext som att lägga till en bakdörr,” fortsatte han.
“Samma personer i regeringen som säger bakdörrar kan göras på ett säkert sätt,” Miers tillade, “sade iMessage var helt säker.”
