就在美國聯邦調查局 (FBI) 與 Apple 公司針對 iPhone 解密的問題僵持不下之際,美國約翰霍普金斯大學 (Johns Hopkins University) 的研究人員在一份報告當中揭露了一項可能衝擊這家科技巨擘加密技術的漏洞。這所位於美國馬里蘭州巴爾的摩市 (Baltimore) 的機構揭露了一個有關 iOS 和 OSX 即時通訊軟體 iMessage訊息傳送機制上的漏洞,駭客可藉由此漏洞解開該軟體發送的加密照片、影片和訊息。
負責帶領一群研究人員的該校電腦科學系教授 Matthew D. Green 指出,此漏洞應該是去年才出現,他在看到該公司一份資安指南所揭露的加密流程之後,覺得似乎有安全上的弱點。
經過了幾個月的研究,Green 所帶領的團隊試圖利用一項概念驗證攻擊來解開經由該即時通訊軟體所發送的照片和影片。在幾經嘗試之後,研究生們成功突破了一些使用舊版作業系統的裝置。
他們發現,只要製作一個偽裝成 Apple 伺服器的軟體,就有辦法攔截該軟體所發送的檔案。被成功破解的案例是一個指向 iCloud 伺服器上某照片的連結,而該照片的 64 位元金鑰也隨著該照片儲存在伺服器上。(這項攻擊使用的軟體只需稍加修改就能用於新版的作業系統。) 有了這把金鑰,研究人員就能解開 Apple 伺服器上的儲存照片。這項測試結果顯示網路犯罪份子可以在使用者毫不知情的狀況下輕鬆取得他們的資料。
不僅如此,這份報告更指出,這項漏洞甚至可用來解開一些暫時保留在 iCloud 伺服器上尚未發送至收件人的 iMessage 訊息,這類訊息最多可在伺服器上保留 30 天。
不過儘管如此,這項漏洞對於 Apple 和 FBI 之間最近僵持不下的問題仍然無解,研究人員表示,這項漏洞並無法幫助 FBI 解開聖貝納迪諾 (San Bernardino) 槍擊案當中的關鍵手機。所以,Green 在一份聲明當中表示:「即使技術實力如此高強並且擁有優秀加密人才的 Apple 也無法保證其加密機制沒有漏洞。所以,我很訝異看到大家竟然在討論是否該在加密機制當中加入後門,因為我們甚至連最基本的加密都做不好。」
[延伸閱讀:Apple 和 FBI 爭執不下的背後故事]
上述研究團隊在發現這項漏洞之後已經通知了 Apple,該公司在一項聲明中表示:「Apple 每次的版本更新都是為了讓我們的軟體更加安全,我們很感謝這群發現並通知我們這項漏洞的研究團隊,這樣我們就能加以修正。安全需要持續不斷的維護,因此我們很感謝這一群協助我們隨時掌握最新狀況的開發及研究人員。」
Apple 在接獲通知之後表示,這項安全漏洞在去年秋天發表的 iOS 9 當中就已獲得「部分」解決。因此,從手機到桌上型電腦,使用者都應讓裝置隨時保持更新,以享受新作業系統 (如 iOS 9.3) 更好的安全性。