Beveiligingsexperts: ‘Apple moet encryptie van iMessage verbeteren’

Volgens beveiligingsexperts is de encryptie van iMessage niet waterdicht. Apple heeft in iOS 9.3 al meerdere maatregelen genomen, maar de beveiliging kan nog beter.

Apple zorgt bij iMessage voor end-to-end encryptie. Dat klinkt in theorie mooi, want je weet dat je berichten vanaf de verzender tot de ontvanger zijn versleuteld. Maar dan moet de gebruikte encryptiemethode natuurlijk wel hackbestendig zijn. Cryptografie-experts van Johns Hopkins University dringen er nu op aan dat Apple voor betere beveiliging kiest.


iMessage app op de iPhone

Naar nu pas blijkt zat er in iMessage een beveiligingsprobleem, dat Apple in iOS 9.3 en OS X 10.11.4 heeft opgelost. Het gebeurt wel vaker dat beveiligingsexperts pas achteraf laten weten dat er een lek is geweest, zodat het betreffende bedrijf alle tijd heeft om maatregelen te nemen. In dit geval ging het om een team van Johns Hopkins University onder leiding van Christina Garman, waaraan ook de bekende cryptografie-expert Matthew Green deelnam. In november 2015 informeerden ze Apple over de beveiligingsproblemen met iMessage en sindsdien heeft het bedrijf meerdere maatregelen genomen. De meeste verbeteringen zaten in iOS 9.3 en OS X 10.11.4, die sinds maart 2016 te downloaden zijn.

In een onderzoekspaper met de titel ‘Dancing on the Lip of the Volcano: Chosen Ciphertext Attacks on Apple iMessage’ lees je meer over de ontdekte beveiligingslekken in iMessage. De onderzoekers concluderen daarin onder andere:

Overall, our determination is that while iMessage’s end-to-end encryption protocol is an improvement over systems that use encryption on network traffic only (e.g., Google Hangouts), messages sent through iMessage may not be secure against sophisticated adversaries. Our results show that an attacker who obtains iMessage ciphertexts can, at least for some types of messages, retrospectively decrypt traffic.

Gelukkig zijn de aanvallen zoals ze hierboven worden beschreven lastig uit te voeren en alleen mogelijk voor mensen met uitzonderlijk veel beveiligingskennis.

Read more: http://news.softpedia.com/news/cryptography-experts-say-apple-needs-to-replace-imessage-encryption-507286.shtml#ixzz4HO3ZX61z

Het onderzoekspaper werd vorige week vrijgegeven op het USENIX Security Symposium in Austin, Texas. De grootse dreiging is nu dus voorbij, maar het vijfkoppige team zegt dat iMessage flink overhoop gehaald moet worden, om alles op te lossen. Apple voerde de meeste voorstellen uit, zoals het verwijderen van gzip-compressie en het herkennen van dubbele RSA-ciphertext. Maar het team vindt dat Apple op termijn de encryptie van iMessage in z’n geheel moet vervangen door een beter mechanisme. Zo blijkt dat Apple encryptiesleutels niet op regelmatige basis wijzigt, zoals Signal en OTR wel doen.

Reacties: 1 reacties

Reacties zijn gesloten voor dit artikel.