Экспертами рекомендуется Apple произвести изменение шифрования в iMessage
15 августа. Apple была проведена серия улучшений собственного современного сервиса iMessage непосредственно после нахождения уязвимостей действующими сотрудниками Университета Д. Хопкинса. Найденная экспертами атака, отличается от той, в ходе которой применялся фотоснимок для взлома устройства.
Между тем экспертами был показан технический документ, где рассказывается про новый способ взлома типа ciphertext attack (переводится как атака шифротекстом). Перехват сообщения хакером осуществляется при помощи украденного сертификата TLS, или с помощью получения доступа к серверам Apple. Наряду с этим исследователями было обнаружено, что сообщениями iMessage не используется обмен открытыми ключами. Также происходит в системах Signal и OTR. Аналогичный тип атаки может применяться для осуществления захвата пользовательских сообщений. Согласно предположениям, с помощью таких же методов можно завладеть информацией, которая передаётся с помощью сервиса Apple Handoff непосредственно по Bluetooth. Между тем шифрование GnuPGP (OpenPGP) может уязвимо быть для подобных нападений.
В iMessage уязвимости раскрыты были в ноябре. При этом патчи для них выпустили в составе обновлений непосредственно для iOS, а также OS X (10.11.4). Решению проблем помогло закрепление на всех каналах сертификатов, применяемых iMessage, а также снятие сжатия, используемого к содержимому вложений в ходе формирования сообщения. Нужно заметить, что рекомендация команды заключается в замене Apple механизма шифрования iMessage именно на тот, который устранит в итоге в основном механизме распределений протоколов слабые места.
Между тем экспертами был показан технический документ, где рассказывается про новый способ взлома типа ciphertext attack (переводится как атака шифротекстом). Перехват сообщения хакером осуществляется при помощи украденного сертификата TLS, или с помощью получения доступа к серверам Apple. Наряду с этим исследователями было обнаружено, что сообщениями iMessage не используется обмен открытыми ключами. Также происходит в системах Signal и OTR. Аналогичный тип атаки может применяться для осуществления захвата пользовательских сообщений. Согласно предположениям, с помощью таких же методов можно завладеть информацией, которая передаётся с помощью сервиса Apple Handoff непосредственно по Bluetooth. Между тем шифрование GnuPGP (OpenPGP) может уязвимо быть для подобных нападений.
В iMessage уязвимости раскрыты были в ноябре. При этом патчи для них выпустили в составе обновлений непосредственно для iOS, а также OS X (10.11.4). Решению проблем помогло закрепление на всех каналах сертификатов, применяемых iMessage, а также снятие сжатия, используемого к содержимому вложений в ходе формирования сообщения. Нужно заметить, что рекомендация команды заключается в замене Apple механизма шифрования iMessage именно на тот, который устранит в итоге в основном механизме распределений протоколов слабые места.
