maanantai 21. lokakuuta 2013

Apple voi lukea iMessage viestit

Quarkslabin tietoturva-asiantuntijat ovat selvittäneet kuinka Apple mahdollisesti pystyisi lukemaan sen tarjoaman iMessage –palvelun kautta lähetetyt pikaviestit.

Apple itse väittää että ei käytä nyt löydettyä konstia asiakkaidensa viestien lukemiseen mutta ei kuitenkaan pysty kieltämään sitä etteikö se hyödyntäisi sitä silloin kun esimerkiksi viranomaiset pyytävät asiakkaiden viestiliikenteen tietoja.

Tietoturva-asiantuntijat löysivät monia kummallisuuksia järjestelmän toiminnasta, vaikka viestit ovatkin salattuja, ne luottavat salausavaimeen jota Apple hallitsee, salauksen voi purkaa kyseisellä avaimella.

Viestien mukana lähetetään myöskin Apple ID ja ID:n salasana jostain syystä Applelle selkokielisenä ja salaamattomana siinä vaiheessa kun järjestelmä kyselee salausavainta. vaikka tiedot lähetetäänkin selkokielisinä Applelle, ei niitä pysty kaapata perinteisen verkkoseurannan avulla sillä tiedot menevät Applelle salatun SSL-liikenteen seassa, ne ovat ainoastaan Applen päässä luettavissa selkokielisinä.

Tosin mikäli käytettävä viestintälaite esimerkiksi iPhone käyttää yrityksen tai muun yksityisen verkon tarjoamia certifikaatteja on tietojen seuranta periaatteessa mahdollista näiden verkkojen ylläpitäjiltä.

Joten nyt löydettyjen erikoisten iMessage ominaisuuksien vuoksi ovat vaarassa myös Apple ID:n salasanat viestien lisäksi.

Asiantuntijat löysivät myös todisteita siitä että Apple saa melko hyvin tietoa siitä kuka viestit lähettää ja kenelle vaikka viestejä ei avattaisikaan, nämä Metadatat ovat tietoja josta varsinkin NSA:n kaltaiset tahot ovat kiinnostuneita luodessaan profiiliverkostoja.

Metatietojen joukossa ovat puhelinnumerot ja sähköpostit riippuen siitä mistä laitteesta tai ohjelmasta viestit lähetetään, iPhonet lähettävät puhelinnumeron automaattisesti kun taas iPadit ja iMessagen työpöytäversio lähettävät sähköpostin.

Tarkemmin iMessagen kummallisuuksista kannattaa käydä lukemassa Quarkslabin blogi artikkelista joka pureutuu asiaan.