В последнее время вопросы информационной безопасности все чаще беспокоят пользователей компьютеров, мобильных устройств, сервисов. Нельзя сказать, что многим так уж важно сохранять тайну сетевой активности — не у всех есть страшные секреты — но неприятно осознавать, что где-то там, в секретных помещениях, гигантские сервера не переставая отслеживают каждое действие.
После международного скандала из-за публикации Сноуденом данных о проекте PRISM, общественность не на шутку разволновалась, насколько надежно компании хранят большие и маленькие секреты, которые им доверяют. С одной стороны все обещают шифрование надежными алгоритмами, конфиденциальность и безопасность, но с другой — откуда нам знать, как это реализовано на практике? Насколько тесны взаимоотношения спецслужб и технологических гигантов?
Компания Apple неоднократно уверяла, что сообщения, отправляемые через iMessage, надежно защищены. Ни у кого, кроме отправителя и получателя нет возможности превратить зашифрованный поток нулей и единиц в осмысленный текст. После заявлений Сноудена о тотальной прослушке представители компании выступили с очередным заявлением о безопасности фирменной технологии общения — сообщения невозможно перехватить между абонентами, так что нечего беспокоиться. Но вчера появилось опровержение. Известные хакеры GG и Pod2G анонсировали доклад об уязвимости в работе iMessage, которая позволяет перехватывать сообщения пользователей. Иными словами у Apple есть техническая возможность предоставлять спецслужбам доступ к переписке владельцев мобильных устройств и компьютеров. Пользуется ли она этой возможностью? Не известно.
Для перехвата сообщений используется MITM-атака, когда криптоаналитик становится промежуточным звеном в переписке — незаметно читает и видоизменяет сообщения, которыми обмениваются корреспонденты. Это не опровергает заявления Apple, что сообщения шифруются по принципу «end-to-end» и не могут быть расшифрованы, но в общение двух людей может вклиниться третья сторона, которая будет получателем, ретранслирующим сообщения от собеседника к собеседнику. Нельзя сказать, что эта уязвимость была специально оставлена программистами Купертино, но и полностью исключать эту возможность не стоит. Для взлома iMessage MITM-атакой нужны очень хорошие специалисты и оборудование, которое есть в распоряжении Apple и крупных организаций, например, Агентства национальной безопасности.
В октябре на докладе хакеры собираются рассказать подробности о технологии взлома в надежде, что в Apple прислушаются к их словам и сделают защиту сообщений еще надежней. Не только для пользователей, но в интересах компании. На Apple могут вновь обрушиться иски от разгневанных пользователей, которые верили в заявления об абсолютной защищенности iMessage.