Et team av forskere ved
Johns Hopkins University har funnet en måte å knekke åpne filer sendt som kryptert chat-meldinger i Apples iMessage-appen, i henhold til nyheter som er publisert mandag.
Selv om det tok måneder å gjøre, forskere, ledet av Professor Matthew Green, var i stand til å brute force en 64-biters krypteringsnøkkel, som tillater dem å dekryptere en bildefil som er lagret i Apples iCloud.
For å fange opp den overføring som inneholder nøkkelen, de skrev programvare for å etterligne en Apple-server. Sendingen inneholdt en link til et bilde i Apples nettsky-og krypteringsnøkkelen.
Når i besittelse av-tasten, forskere vil endre en bokstav eller et tall i det og sende det inn til mål telefon. Når de laget en riktig gjetning, telefonen vil erkjenne det. Ved å gjenta oppgaven tusenvis av ganger, de til slutt sprakk nøkkelen, og målet bilde dekrypteres.
Apple Respons
Selv om forskerne målrettede en iPhone med en eldre versjon av iOS-operativsystemet, Grønn fortalte til The Washington Post at en modifisert versjon av angrepet ville fungere på nyere versjoner av operativsystemet. Men, Apple oppdatert sårbarheten i en oppdatering av iOS-9.3, utgitt mandag.
“Apple svarte til oss svært raskt og tok saken alvorlig,” team-medlem Ian Miers sa.
“Det tok litt tid å patch fordi det påvirket mer enn bare iMessage,” fortalte han TechNewsWorld.
Tripwire har jobbet med Apple i det siste og funnet det enkelt å jobbe med, selv om forsinkelser mellom rapporterer om et problem og fikse det som er vanlig, sa Lamar Bailey, direktør for sikkerhet forskning og utvikling.
“Alle store selskap som har meget populære programmer kan ta lang tid å fikse en app fordi det er mye av testing de har å gjøre,” sa han TechNewsWorld.
Dårlig Sikkerhet Design
Feilen forskerne fant var en implementering feil, ikke et problem med Apples krypteringsalgoritme, Bailey bemerket.
“Fordi den forteller deg når du får et siffer til høyre, det tillater deg å brute force riktig nummer,” sa han. “Det tar likevel en evighet, og det må gjøres for hvert eneste element på telefonen, men du kan etter hvert komme til dem.”
På grunn av krefter det tar å utnytte feilen, det er ikke ansett som en høy grad av risiko.
“Risikoen er ganske lav, så dette synes ikke å være noe som er generelt nyttige,” sa Lysa Myers, en sikkerhet forsker med
Eset.
“Risikoen for ikke å bruke kryptering på alle som er langt større enn risikoen for bruk av kryptering programvare som en sårbarhet er funnet og raskt lappet,” fortalte hun TechNewsWorld.
“Risikoen for de fleste iPhone-brukere er relativt lav,” bemerket Elad Yoran, styreleder av
KoolSpan.
“Dette var en meget sofistikert angrep som krever meningsfylt ressurser og kompetanse til å utføre,” fortalte han TechNewsWorld.
Andre Mulige Feil
Fordi omfanget av et angrep som utnytter feilen ville bli så smal, sin appell ville være begrenset.
“Det eneste tilfellet som gjør noe fornuftig, er hvis noen var rettet mot en offentlig tjenestemann eller en kjendis,” Tripwire er sa Bailey. “Selv da, det ville ta måneder og massevis av utstyr.”
Men feilen kan føre til at flere funn, bemerket Bailey ‘ s kollega Tim Berlin, direktør for IT-sikkerhet og risiko strategi.
“Ofte i tilfeller der du finner en sårbarhet i en implementering, fører det til security forskere til å se etter lignende typer sårbarheter i andre implementeringer,” fortalte han TechNewsWorld. “Så vi kan se noen oppfølging på konsekvensene med noen nye sårbarheter oppdaget.”
Myten om Kryptering
I de siste ukene, FBI har hyllet kryptering på Apples telefoner og datamaskiner som ugjennomtrengelig. Johns Hopkins-forskere ser ut til å ha kastet litt kaldt vann på tanken.
“Den største takeaway er at kryptering er vanskelig, selv om du vet hva du gjør,” Miers sa.
“Apple har noen av de beste kryptografiske ingeniører i bransjen, men de har gjort en feil. Tenk hva som ville skje hvis de prøvde å gjøre noe mer komplisert som du legger til en bakdør,” fortsatte han.
“De samme personene i regjeringen som sier bakdører kan gjøres på en sikker måte,” Miers lagt til, “sa iMessage var helt sikker.”
