Apple провела серию улучшений собственного сервиса iMessage после нахождения уязвимостей сотрудниками Университета Джонса Хопкинса. Атака, найденная экспертами, отличается от той, которая использовала фотографию для взлома устройства.
Эксперты поделились техническим документом, в котором рассказывается о новом способе взлома – ciphertext attack (атака шифротекстом). Хакер перехватывает сообщения с помощью украденного TLS-сертификата, либо получив доступ к серверам Apple.
Кроме того, исследователи обнаружили, что сообщения iMessage не используют обмен открытыми ключами, как это происходит в современных системах OTR и Signal. Тем самым, тот же тип атаки может использоваться для захвата пользовательских сообщений.
Предполагается, что теми же методами можно завладеть данными, передающимися посредством сервиса Apple Handoff по Bluetooth. Шифрование OpenPGP (GnuPGP) может быть уязвимо для подобных нападений.
Уязвимости в iMessage были раскрыты в ноябре, а патчи для них выпущены в составе обновлений для iOS и OS X (10.11.4). Проблемы были решены закреплением сертификатов на всех каналах, используемых iMessage и снятием сжатия, применявшегося к содержимому вложений на этапе формирования сообщения.
Рекомендация команды состоит в том, что Apple должна заменить механизм шифрования iMessage на тот, который устранит слабые места в основном механизме распределения протоколов. [MR]
9 комментариев
Форум →Тогда взломайте и сделайте возможной работу на андроиде.
А какую фотографию нужно использовать для взлома?
@Hyperactive, В.В. Темнейший. Если не сработает из-за изменённых алгоритмов защиты, использовать версию 2.0 (там он ещё пальцем грозит)
САМАЯ СТАБИЛЬНАЯ И ЗАЩИЩЕННАЯ ОС
опять нашли дырку? как удивительно (нет)
Плюс непонятно откуда взялось:
“Атака, найденная экспертами, отличается от той, которая использовала фотографию для взлома устройства.”
в Оригинале вроде про другое?
“This attack is different to the one Johns Hopkins researchers discovered in March, which allowed an attacker to decrypt photos and videos sent over iMessage. “
@Hyperactive, действительно совсем о другом : )
Украв серт эппла или получив доступ к их сервакам? Ахаха, да вот так “атака”
делаем напишите.
телеграм-905-
541-0337
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как изменить назначение кнопок громкости на iPad
Как заново привязать номер телефона к App Store после неудачной оплаты
Как не дублировать данные приложений в iCloud?
Что делать, если пропал пункт «Сохранить как…» в стандартных приложениях macOS
Когда начинает действовать гарантия на iPhone, iPad и Mac?
Почему не синхронизируются уведомления на iPhone и iPad
Как объединить несколько мессенджеров в одном приложении
Как обновить прошивку беспроводной гарнитуры Beats?