海霸王年菜2016 , 台酒年菜2016 , 外帶年菜2016 , 飯店年菜2016 , 素食年菜2016 , 高雄年菜2016 , 阿霞飯店年菜2016 (年菜菜單)2016年菜預購 高雄年菜餐廳 ... 2016

Oct 22nd 2013, 21:05, by cowranch

作者cowranch (happycow)

看板MobileComm

標題[閒聊] i message無法解密? 專家: 蘋果說謊

時間Tue Oct 22 21:05:09 2013

鏈結: http://www.ithome.com.tw/itadm/article.php?c=83257 內文: 蘋果宣稱其iMessage的安全性連蘋果自己都無法解密使用者所傳輸的資料， 資安研究員Cattiaux指出，蘋果的說法基本上是個謊言， 只要蘋果願意，或是收到政府的命令，仍然能夠讀取iMessages通訊。 先前中情局前任員工Edward Snowden爆出美國國安局（NSA）的PRISM計畫， 指出NSA透過各大科技業者存取使用者個資後，業者紛紛跳出自清， 蘋果則曾宣稱其iMessage的安全性連蘋果自己都無法解密使用者所傳輸的資料。 但資安研究人員Cyril Cattiaux在上周於吉隆坡舉行的Hack in the Box安全會議中指稱， 蘋果是在說謊。 蘋果在今年6月公布了美國政府所提出的個資揭露請求數據， 並強調蘋果對保護個人隱私的承諾，當時蘋果表示， iMessage通訊是採用端對端加密，因此除了發送人與接收方外， 沒有其他人能夠讀取這些通訊內容，而且蘋果也無法解碼這些資料。 但Cattiaux指出，蘋果的說法基本上是個謊言。 Cattiaux表示，他並不是說蘋果在讀取使用者的iMessage通訊， 而是在說如果蘋果願意，或是收到政府的命令，仍然能夠讀取iMessages通訊。 Cattiaux表示，的確蘋果伺服器間的所有通訊都是透過SSL的加密通道， 於是他試著使用偽造的憑證來執行中間人攻擊（Man-In-The-Middle，MITM)， 結果發現這非常的容易，並可直接檢視使用者蘋果ID與密碼的明文， 意謂著任何人只要能夠利用偽造的憑證與代理伺服器就能取得蘋果用戶的ID與密碼， 進而存取iCloud或各種蘋果服務。 他進一步描述了竊聽iMessages通訊的方式，指出當A要傳訊予B時， C攔截了A與B對蘋果伺器的請求，也攔截了雙方所傳輸的內容， 利用A與B的金鑰加以解密，甚至可竄改A或B的內容。 以上攻擊的基本要求為目標裝置的有效憑證、可將流量導向自己，以及得持有通訊金鑰。 Cattiaux說，蘋果不但擁有憑證，而且掌控了流量與金鑰伺服器， 這代表如果蘋果願意，它仍然能監聽使用者的通訊。 不過，Cattiaux表示，對駭客而言，針對iMessage使用中間人攻擊不切實際， 而且iMessage的安全性對一般人來說已足夠， 只是不建議透過該服務傳遞不想讓政府監控的訊息。 蘋果回應指出，iMessage的架構並未允許蘋果讀取通訊內容， 該研究討論的是理論上的漏洞，且蘋果必須要變更iMessage系統才能利用此漏洞， 蘋果並無計畫或相關企圖來執行它。 （編譯/陳曉莉） 心得: 確實, 一般民眾通話並不很需要, 也甚少特意去保護隱私. 但既然商品未達該安全層級 企業就不該以之宣傳 瞞騙消費者 (對該漏洞說法 從"不存在"轉變成"並不打算利用") 不過, 稍早的另一則新聞 似乎替蘋果的說法作出了保證 "Apple 承認 iMessage 收發存在問題，正在尋求解決辦法" http://chinese.engadget.com/tag/iMessage/ 內文如下 之前有部分 iOS 7 用戶在收發 iMessage 訊息時出現了問題 （不是第一次發生這種情況了），如今 Apple 終於給出了回應。 在華爾街日報收到的聲明中，Apple 稱只有「不到百分之一」的 iMessage 用戶受到了影響，並表示他們會在未來的軟體更新中修復這一問題。 而 TechCrunch 則在一份支援資料中找到了一個暫時性的解決辦法 ，但如果你懶得去弄的話，只有先靠其它 IM 應用頂一頂啦。 或許 蘋果對於旗下的該項服務 只是認知或技術掌握不足 而非特意隱瞞並否認系統的漏洞 若不做為商務使用, i message依然是一項可信賴的服務 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 1.161.103.4

→ IMDB :愛索哥表示： 10/22 21:06

推 BIGETC :招喚 樓下幫點 10/22 21:07

→ Kael :1.無視 2.不過再怎麼仇視蘋果.銷售量還是第一 10/22 21:10

推 walelile :沒出現 不合理 10/22 21:11

→ Kael :樓下猜猜iso哥這篇會選哪項 10/22 21:11

推 cash35 :看不出下面那條新聞友邦蘋果做什麼保證?? 10/22 21:11

→ cowranch :對問題只能宣稱影響範圍小，並承諾未來將會解決。那 10/22 21:14

→ cowranch :對安全漏洞確實沒事前掌握，而非刻意隱匿的機會就大 10/22 21:14

→ cowranch :上許多 10/22 21:14

推 kblover :where is Mr.iso? 10/22 21:15

推 weltschmerz :大家別召喚了 反正果粉不屑用這軟體 都是用FB 10/22 21:17

→ weltschmerz :反觀Android那個XXX 爛死了 一點安全性都沒有 10/22 21:18

→ walelile :召喚是種趣味 10/22 21:18

This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers. Five Filters recommends:

• Massacres That Matter - Part 1 - 'Responsibility To Protect' In Egypt, Libya And Syria
• Massacres That Matter - Part 2 - The Media Response On Egypt, Libya And Syria
• National demonstration: No attack on Syria - Saturday 31 August, 12 noon, Temple Place, London, UK