Encryptie-onderzoekers willen dat Apple iMessage vervangt
De onderzoekers die erin slaagden om de encryptie van iMessage deels te kraken, zodat het mogelijk was om versleutelde bijlagen te ontsleutelen, roepen Apple op om de populaire berichtendienst te vervangen. Apple heeft gisteren updates voor iOS en OS X uitgerold om het probleem op te lossen.
Volgens de onderzoekers bevatte het encryptiemechanisme van iMessage ernstige kwetsbaarheden. Een aanvaller die iMessage-berichten kon onderscheppen zou bepaalde bijlagen, zoals foto's en video's, kunnen ontsleutelen. Hiervoor was het wel nodig dat de afzender of ontvanger van het bericht online zijn. Nu Apple het probleem heeft gepatcht hebben de onderzoekers hun onderzoeksrapport gepubliceerd (pdf).
"Onze voornaamste aanbeveling is dat Apple iMessage moet vervangen door een berichtensysteem dat correct is ontworpen en uitgebreid is gecontroleerd", aldus de conclusie van het rapport. De onderzoekers erkennen dat dit, gezien het grote aantal iMessage-installaties, niet op korte termijn haalbaar is. Daarom doen ze verschillende aanbevelingen die Apple op korte termijn wel kan uitrollen zodat iMessage-gebruikers hier geen hinder van ondervinden, maar dat het iMessage-protocol op lange termijn wel vervangen wordt.
IMessage
Volgens informaticaprofessor Matthew Green, die het onderzoeksteam leidde, is iMessage een belangrijk protocol. De berichtendienst, die in 2011 verscheen, is namelijk het eerste end-to-end-versleutelde berichtensysteem dat op grote schaal en wereldwijd wordt gebruikt. Waar er eerst via het onbeveiligde sms of mms werd gecommuniceerd, konden mensen opeens versleuteld met elkaar communiceren. "Vanuit een beveiligingsstandpunt was iMessage erg belangrijk. In één klap rolde Apple versleuteld communiceren onder miljoenen gebruikers uit, waarbij Apple zelf de communicatie niet kon ontsleutelen", aldus Green.
Een nog grotere prestatie was volgens de professor dat de meeste mensen niet eens doorhadden dat dit was gebeurd. Ondanks zijn positieve woorden over iMessage is het volgens Green de hoogste tijd dat Apple de berichtendienst laat vallen en op een veiliger protocol overstapt. Als voorbeeld geeft hij het protocol dat de versleutelde berichtendienst Signal gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.