Onderzoekers van de Johns Hopkins University hebben een beveiligingslek gevonden in de versleuteling van Apple’s iMessage. Video’s en foto’s die geëncrypt verzonden worden, zijn dus niet veilig.
“Zelfs Apple met al hun kennis, en ze hebben fantastische cryptografen, zijn erin dit geval niet in geslaagd om het goed te doen”, zegt informaticaprofessor Matthew Green. “Ik vind het dan ook beangstigend dat we deze discussie over het toevoegen van backdoors aan encryptie hebben, als we de standaardencryptie niet eens voor elkaar krijgen.”
Aanval
Green dacht in 2015 al dat iMessage een lek bevat. Hij heeft Apple hiervoor gewaarschuwd maar het bedrijf bracht geen update uit. Vervolgens ontwikkelde hij en zijn team een aanval. Na een paar maanden lukte het om foto’s en video’s die via iMessage waren verstuurd, te ontsleutelen.
iOS 9.3
De onderzoekers zetten voor hun aanval een server in, die deed alsof hij een server van Apple was. Het geëncrypte bericht dat ze poogden te onderscheppen, bevatte een link naar een foto op een iCloudserver van Apple, plus de 64-bit sleutel om deze afbeelding te encrypten. De sleutel voor de foto konden ze niet zien maar er werd voortdurend een letter of cijfer in de sleutel gewijzigd. Dit werd telkens naar de iPhone verzonden. De securityresearchers deden dit net zo vaak, totdat ze de sleutel hadden ontdekt. Het lek zou gedeeltelijk zijn verholpen met iOS 9. Pas in iOS 9.3 wordt de kwetsbaarheid volledig gerepareerd. Apple zou deze update vandaag uitbrengen.