Обнаружена уязвимость в системах шифрования Apple, которая позволяет злоумышленнику расшифровывать фотографии и видео, отправленные через сервис мгновенных сообщений iMessage.

По сообщению The Washington Post, уязвимостью в коде Apple воспользовалась группа исследователей из Университета Джонса Хопкинса под руководством профессора компьютерных наук Мэтью Д. Грина.

Грин сообщил Apple о проблеме в прошлом году после того, как прочитал руководство по безопасности Apple, описывающее процесс шифрования, который показался ему слабым. Поскольку через несколько месяцев уязвимость не была устранена, Грин и его аспиранты решили провести атаку, чтобы продемонстрировать, что они могут взломать шифрование фотографий и видео, отправленных через iMessage.

Команда добилась успеха, написав программное обеспечение, имитирующее сервер Apple, и перехватив зашифрованную передачу данных целевого телефона. Передача содержала ссылку на фотографию, хранящуюся на сервере Apple iCloud, а также 64-значный ключ для расшифровки фотографии.

Хотя студенты не могли видеть цифры ключа, они угадывали их путем многократного изменения цифры или буквы в ключе и отправки обратно на целевой телефон. Каждый раз, когда они правильно угадывали цифру, телефон принимал ее. Телефон тестировался таким образом тысячи раз, пока команда не угадала правильный ключ и не смогла извлечь фотографию с сервера Apple.

Apple заявила, что частично устранила проблему осенью прошлого года, выпустив iOS 9, и полностью решит ее с помощью улучшений безопасности в iOS 9.3, выпуск которой ожидается на этой неделе. В заявлении компании говорилось:

Apple прилагает все усилия, чтобы сделать наше программное обеспечение более безопасным с каждым выпуском. Мы благодарны команде исследователей, которые выявили эту ошибку и сообщили нам о ней, чтобы мы могли исправить уязвимость. Безопасность требует постоянной преданности делу, и мы благодарны за сообщество разработчиков и исследователей, которые помогают нам оставаться на шаг впереди.

Эта новость появилась на фоне продолжающейся судебной тяжбы Apple с ФБР по делу об iPhone, находящемся в центре расследования стрельбы в Сан-Бернардино. ФБР обратилось за помощью к Apple для разблокировки телефона, но компания до сих пор отказывалась.

ФБР хочет получить доступ к данным, хранящимся на рассматриваемом iPhone, в то время как исследование Университета Джонса Хопкинса сосредоточено на перехвате данных, передаваемых между устройствами. Однако Грин считает, что работа его команды подчеркивает присущие риски безопасности, связанные с требованиями ФБР в калифорнийском деле.

«Даже Apple, со всеми их навыками — а у них есть превосходные криптографы — не смогла сделать это правильно», — сказал Грин газете. «Поэтому меня пугает, что мы ведем этот разговор о добавлении бэкдоров в шифрование, когда мы даже не можем правильно реализовать базовое шифрование».

Apple предстоит столкнуться с ФБР в суде во вторник, за день до мероприятия Apple 21 марта, на котором будут представлены 4-дюймовый iPhone SE и 9,7-дюймовый iPad Pro. MacRumors предоставит прямую ссылку на медиа-мероприятие Apple, как только она станет доступна.

Примечание: В связи с политическим характером дискуссии по этой теме, ветка обсуждения находится на нашем форуме «Политика, религия, социальные вопросы«. Все члены форума и посетители сайта могут читать и следить за веткой, но публикация разрешена только членам форума, имеющим не менее 100 сообщений.