蘋果iMessage不安全

北京時間8月15日消息，據(jù)科技網(wǎng)站MacRumors報道，在被約翰·霍普金斯大學一組研究人員發(fā)現(xiàn)存在數(shù)個缺陷后，蘋果已經(jīng)對iMessage安全協(xié)議采取了一系列短期和長期安全措施。

新發(fā)現(xiàn)的缺陷不同于約翰·霍普金斯大學研究人員3月份發(fā)現(xiàn)的另外一處缺陷。研究人員在論文中詳細闡述了被稱作“密文攻擊”的攻擊方法，只要收發(fā)雙方有一方在線，黑客就可以對某種類型的信息和附件解密。

這種攻擊方法要求黑客利用竊取的TLS證書，或通過訪問蘋果服務器，攔截消息。雖然攻擊對技術水平要求相當高，研究人員指出，它仍然能被獲得國家資助的黑客所掌握。

研究團隊還發(fā)現(xiàn)，蘋果加密技術不像OTR和Signal等現(xiàn)代加密協(xié)議那樣定期更換密鑰。這意味著相同攻擊方法可以用于iMessage歷史數(shù)據(jù)。從理論上說，法庭可以強制蘋果讓執(zhí)法人員訪問其服務器，利用上述攻擊方法解密數(shù)據(jù)。

研究人員認為，這種攻擊方法也適用于采用相同加密格式的其他協(xié)議，例如蘋果Handoff特性。論文指出，被應用在即時通訊應用中時，OpenPGP協(xié)議也可能面臨類似攻擊。

蘋果早在2015年11月就收到相關通報，并在iOS9.3和OS X 10.11.4中修正了iMessage協(xié)議中的缺陷。之后，蘋果一直通過月度更新包發(fā)布補丁軟件，修正研究人員發(fā)現(xiàn)的問題。

但是，研究團隊的長期建議是，蘋果應當利用消除iMessage安全協(xié)議核心分發(fā)機制中缺陷的協(xié)議，取代iMessage加密機制。