苹果破解了iMessage安全漏洞

根据安全公司Quarkslab的最新研究，苹果公司(Apple)的即时通讯服务iMessage显然没有我们最初想象的那么安全。

今年夏天，当有关美国国家安全局(NSA)间谍项目的爆料首次浮出水面时，苹果迅速采取行动掩盖其踪迹，指出其iMessage应用程序非常安全，甚至无法解密和拦截通信。然而，QuarksLab在2013年10月17日的马来西亚黑客大会上发布了一份白皮书，声称如果苹果真的想解密imessage，它实际上是可以做到的。从那以后，我们看到了一波又一波的头条新闻，声称即使是苹果臭名昭著的锁定服务也很容易被政府监控。

在这项研究中，Quarkslab的西里尔·卡提奥斯指出，加密并不是唯一重要的事情:

正如苹果公司所宣称的，有端到端的加密技术。弱点在于关键的基础设施，因为它是由苹果控制的，他们可以随时更换钥匙，因此可以阅读我们的imessage的内容。”

Quarkslab的研究人员表示，他们通过添加一个假的安全证书，成功实施了所谓的“中间人”攻击。他们声称imessage缺乏一种叫做“证书固定”的东西，即imessage只确定一个特定的证书或证书的数量是可信的。

研究人员还发现，用户的AppleID和密码是通过SSL明文传输的，如果苹果愿意，它可以看到密码。Quarkslab表示，这意味着苹果——或任何情报机构——可能会重放密码。

这也意味着可以访问任何人的iCloud账户，只需添加一个假证书，并对通信进行代理，获取他们的AppleID和密码。

《连线》杂志(Wired)的马修•霍南(Matthew Honan)去年发现，如果黑客掌握了某人的密码，可能会造成相当大的损失。

Quarkslab表示，iPhone的配置实用程序可以让企业管理iPhone，它可以在不可见的情况下代理与设备之间的通信，从而获取个人信息。苹果的推送通知服务是另一个薄弱环节。

此外，关于消息的元数据是敏感的——苹果拥有这些元数据。

研究人员得出的结论是，苹果不太可能阅读任何人的imessage，但他们警告说，“如果他们愿意，或者政府命令要求他们这样做，苹果可以阅读你的imessage。”

然而，在今天的All Things D上发表的一份声明中，苹果反驳了这项研究，并表示即使它想拦截信息，也无法拦截。

“iMessage的架构不允许苹果读取信息，”苹果发言人说。

“研究讨论了理论上的漏洞，这些漏洞将要求苹果重新设计iMessage系统来利用它，而苹果没有这样做的计划或意图。”

问题是，随着有关美国国家安全局监控范围的源源不断的信息，它最终会成为一个信任问题。虽然苹果声称它无法读取你的imessage，但如果它有一个有效的目标，像美国国家安全局这样的人很可能会强迫它这样做。此外，此前有报道称，微软(Microsoft)和Skype等公司在其服务器上安装了所谓的“后门”，使得加密数据可以很容易地获取。

在Springpad上找到更多与安全相关的故事。 在Springpad上查看安全趋势笔记本