To iMessage είναι μια υπηρεσία της Apple που επιτρέπει στους ιδιοκτήτες των συσκευών με iOS να ανταλλάσσουν δωρεάν SMS μέσω Wi-Fi. Υποτίθεται βέβαια ότι θα είναι μια απόλυτα ασφαλής υπηρεσία, ή τουλάχιστον αυτό ισχυρίζεται η Apple. Η εταιρεία επέμενε τον Ιούνιο, μετά το σκάνδαλο με τις κατασκοπευτικές δράσεις της Υπηρεσίας Εθνικής Ασφάλειας των ΗΠΑ (NSA), ότι κανείς δεν μπορεί να διαβάσει τα μηνύματα των χρηστών του iMessage αφού είναι κρυπτογραφημένα στους servers της.
Δύο ερευνητές ασφαλείας όμως έχουν την αντίθετη άποψη. Στο Hack in the Box, ένα συνέδριο για την ασφάλεια που διεξάγεται στο στην Kuala Lumpur, απέδειξαν στους παρευρισκόμενους ότι η Apple μπορεί κάλλιστα να αποκρυπτογραφήσει αυτά τα μηνύματα κάτι που σημαίνει ότι οι μυστικές υπηρεσίες θα μπορούσαν άνετα με ένα ένταλμα να τους υποχρεώσει να το κάνουν, ή όπως έχουμε διαπιστώσει τελευταία να τους αφήσουν ένα backdoor και να έχουν συνεχή πρόσβαση.
Η έρευνα τους υπάρχει δημοσιευμένη στο blog της Quarkslab. Οι συγγραφείς της έρευνας Cyril Cattiaux και GG επισημαίνουν ότι τα ευρήματα τους δεν αποδεικνύουν ότι η Apple παρακολουθεί την ιδιωτικής σας αλληλογραφία, αλλά ότι έχει την δυνατότητα να το κάνει. Οι φανατικοί της οπαδοί της εταιρείας θα μπορούσαν να ελπίζουν ότι η καλή τους Apple δεν θα έκανε ποτέ κάτι τέτοιο. Όμως ένα αρχείο που διέρρευσε από τον Edward Snowden δείχνει η Apple υπήρχε μέσα στο πρόγραμμα PRISM από τον Οκτώβριο του 2012. Αυτό πρακτικά σημαίνει ότι συνεργαζόταν ή συνεχίζει και συνεργάζεται με την NSA.
Οι Cattiaux και GG ανακάλυψαν μια ευπάθεια στην “βασική υποδομή”, ελέγχου της Apple . “το δημόσιο κλειδί κρυπτογράφησης είναι αυτό που προστατεύει το περιεχόμενο του μηνύματος, αλλά η Apple διατηρεί τον πλήρη έλεγχο του δημόσιου κλειδιού σε έναν διακομιστή και έτσι οι χρήστες είναι ευάλωτοι σε επιθέσεις man in the middle.
“Το μεγαλύτερο πρόβλημα εδώ, ανέφερε ο Cattiaux, είναι ότι δεν μπορούμε να είμαστε σίγουροι” ότι το δημόσιο κλειδί που χρησιμοποιείτε για την κρυπτογράφηση του μηνύματος είναι πραγματικά το κλειδί του παραλήπτη σας και όχι, για παράδειγμα, το δημόσιο κλειδί κάποιου άλλου μέσα από την Apple .”
Η Apple δεν ίδρωσε βέβαια για όλα αυτά. Όταν της ζητήθηκε να σχολιάσει την ευπάθεια, απλά παρέπεμψε στο δελτίου τύπου του Ιουνίου, στο οποίο υπογράμμιζε ότι “είναι δεσμευμένη για την προστασία της ιδιωτικής ζωής των πελατών της” και δήλωνε ότι η εταιρεία δεν γνώριζε την ύπαρξη του PRISM μέχρι που ανακοινώθηκε από τα μέσα ενημέρωσης.
Εσείς ποιον πιστεύεται;
