iMessage: il problema è grave, la patch è servita

Emergono nuovi particolari sulle vulnerabilità di sicurezza di iMessage, problemi che in ogni caso Apple ha già corretto assieme al resto dei bugfix inclusi negli ultimi update di sicurezza rilasciati per iOS, OS X e compagnia

Roma – I ricercatori della Johns Hopkins University hanno pubblicato il loro studio sulle vulnerabilità di iMessage, un sistema di comunicazione che a loro dire presta il fianco a notevoli problemi di sicurezza nella gestione degli allegati di notevoli dimensioni. Apple ha già rilasciato le patch, in ogni caso.

Il problema è già stato anticipato nei giorni scorsi , e assume una rilevanza tutta particolare nell’ambito dello scontro senza quartiere tra Cupertino e l’FBI sulle protezioni crittografiche di iPhone, iOS e compagnia.

Gli esperti americani spiegano che, dopo attenta valutazione del servizio e dei protocolli di iMessage, sono state individuate “vulnerabilità significative che possono essere sfruttate” da un malintenzionato dotato di strumenti e risorse “sofisticati”. Particolarmente preoccupante è stata la scoperta di un possibile attacco che coinvolge i dati cifrati sotto forma di allegati, decifrabili con un attacco a forza bruta.

Le immagini, i video e gli altri contenuti “pesanti” allegati ai messaggi di iMessage possono essere compromessi grazie alla possibilità di provare più e più volte una combinazione chiave per individuare il codice di accesso a 64 cifre, individuando una cifra alla volta fino al completamento dell’operazione.

Un attacco a forza bruta richiede naturalmente risorse computazionali notevoli, ma stando ai ricercatori un’organizzazione determinata come può essere una forza di polizia federale (qualcuno ha detto FBI?) potrebbe riuscire nell’intento. Ulteriori vettori di attacco non sono stati (ancora) testati a fondo e presentano quindi ancora nuovi rischi tutti da verificare.

Per quanto riguarda le vulnerabilità specifiche indicate nello studio, in ogni caso, le patch che Apple ha incluso in iOS 9.3 assieme a tutto il resto degli update per OS X, watchOS e tvOS sembrano aver neutralizzato il pericolo di compromissione di iMessage.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • legionella scrive:
    profilazione uber alles
    Più che un protocollo mi sembra un protocolon.Le mail devono essere leggibili dai vari Yahoo, Google, Microsoft e compagnia cantante.Altrimenti addio ad una buona parte della profilazione del cliente e dei suoi contatti e quindi addio ad una parte degli introiti presenti e futuri (i database rimangono ai venditori che reincrociano continuamente i dati per aumentare la precisone di profilazione per scopi futuri, non necessariamente primariamente economici).
  • madi scrive:
    ed elìminare anche gli mx records?
    mi sembra come il registro automobilistico dell'aci..
    • AxAx scrive:
      Re: ed elìminare anche gli mx records?
      Come proponi di fare? Un mercato borsistico dove il migliore offerente riceve le mail per quel determinato dominio?
  • AxAx scrive:
    Tutto inutile
    Il 99% delle email viene violato via trojan o via XXXXXXXXX che si installano apps che transitano dalla russia o dal vietnam per scaricare le email .
  • ... scrive:
    XXXXXXXXX estemporanei
    "(1982), quando i tempi tecnologici erano molto meno maturi e l'idea che l'intelligence americana (NSA) e non spiasse il mondo intero era ancora annoverabile tra le teorie dei complotti improbabili"Proprio qui su PI é pieno di avventori ottimistoni ancorata alla mentalità degli anni ottanta.
  • Scumm78 scrive:
    non mi e' chiaro
    io gia' ora posso configurare che il mio server di posta non invii email se l'altro server non supporta TLS quindi basta mettersi daccordo per forzare questa cosa
    • pippuz scrive:
      Re: non mi e' chiaro
      - Scritto da: Scumm78
      io gia' ora posso configurare che il mio server
      di posta non invii email se l'altro server non
      supporta TLS quindi basta mettersi daccordo per
      forzare questa cosaIl problema sono due: il primo è che spesso (come per altri protocolli diversi dall'HTTPS) non viene fatta una validazione della correttezza del certificato: io posso tranquillamente avere un certificato rilasciato dalla mia CA farlocca e presentarmi come smtp.google.com, ma questo non significa che io sia in realtà chi il mio certificato (magari self-signed) dice che io sia. In maniera analoga, non ci sono molti client FTPS che controllano che il certificato del chiamato corrisponda al nome effettivamente chiamato. Il secondo è che le connessioni STARTTLS sono vulnerabili a cosiddetti attacchi encryption downgrade, dove la codifica è semplicemente rimossa.
    • pippuz scrive:
      Re: non mi e' chiaro
      Aggiungo: l'articolo è spiegato meglio su Repubblica (by Tom's hardware) che su PI: come siete messi?
      • Il fuddaro scrive:
        Re: non mi e' chiaro
        - Scritto da: pippuz
        Aggiungo: l'articolo è spiegato meglio su
        Repubblica (by Tom's hardware) che su PI: come
        siete
        messi?Vuoi pure una risposta?
      • ... scrive:
        Re: non mi e' chiaro
        - Scritto da: pippuz
        Aggiungo: l'articolo è spiegato meglio su
        Repubblica (by Tom's hardware) che su PI: come
        siete messi?come al solito: a XXXX busone a favore di chi paga. "Questo e' PI, bellezza, e tu non puoi farci niente, niente!" (cit.)
    • panda rossa scrive:
      Re: non mi e' chiaro
      - Scritto da: Scumm78
      io gia' ora posso configurare che il mio server
      di posta non invii email se l'altro server non
      supporta TLS quindi basta mettersi daccordo per
      forzare questa
      cosaIl mio server di posta non supporta TLS, ma in compenso puoi sempre criptare i messaggi che mi mandi: la mia chiave pubblica e' nota ai miei corrispondenti.
      • ... scrive:
        Re: non mi e' chiaro
        - Scritto da: panda rossa
        - Scritto da: Scumm78

        io gia' ora posso configurare che il mio
        server

        di posta non invii email se l'altro server
        non

        supporta TLS quindi basta mettersi daccordo
        per

        forzare questa

        cosa

        Il mio server di posta non supporta TLS, ma in
        compenso puoi sempre criptare i messaggi che mi
        mandi: la mia chiave pubblica e' nota ai miei
        corrispondenti.e dove sarebbe pubblicata, codesta pubblica chiave?
        • panda rossa scrive:
          Re: non mi e' chiaro
          - Scritto da: ...
          - Scritto da: panda rossa

          - Scritto da: Scumm78


          io gia' ora posso configurare che il mio

          server


          di posta non invii email se l'altro server

          non


          supporta TLS quindi basta mettersi daccordo

          per


          forzare questa


          cosa



          Il mio server di posta non supporta TLS, ma in

          compenso puoi sempre criptare i messaggi che mi

          mandi: la mia chiave pubblica e' nota ai miei

          corrispondenti.

          e dove sarebbe pubblicata, codesta pubblica
          chiave?Nella firma dei miei messaggi di posta.
          • ... scrive:
            Re: non mi e' chiaro
            - Scritto da: panda rossa
            - Scritto da: ...

            - Scritto da: panda rossa


            - Scritto da: Scumm78



            io gia' ora posso configurare che
            il
            mio


            server



            di posta non invii email se
            l'altro
            server


            non



            supporta TLS quindi basta mettersi
            daccordo


            per



            forzare questa



            cosa





            Il mio server di posta non supporta
            TLS, ma
            in


            compenso puoi sempre criptare i
            messaggi che
            mi


            mandi: la mia chiave pubblica e' nota
            ai
            miei


            corrispondenti.



            e dove sarebbe pubblicata, codesta pubblica

            chiave?

            Nella firma dei miei messaggi di posta.se e' nei TUOI messaggi di posta allora NON E' pubblicata, quindi non dire cose inesatte con E' PUBBLICATA.Questa la mettiamo insieme a quella della raspberry, eh?
          • gin scrive:
            Re: non mi e' chiaro
            - Scritto da: ...
            - Scritto da: panda rossa



            Il mio server di posta non supporta

            TLS, ma

            in



            compenso puoi sempre criptare i

            messaggi che

            mi



            mandi: la mia chiave pubblica e' nota

            ai

            miei



            corrispondenti.

            - Scritto da: ...


            e dove sarebbe pubblicata, codesta pubblica


            chiave?
            - Scritto da: panda rossa

            Nella firma dei miei messaggi di posta.

            - Scritto da: ...
            se e' nei TUOI messaggi di posta allora NON E'
            pubblicata, quindi non dire cose inesatte con E'
            PUBBLICATA.prova a rileggere mi sembra che l'unico che ha detto PUBBLICATA sei tuma c'è bisogno di tutto questo astio sempre?bho
          • panda rossa scrive:
            Re: non mi e' chiaro
            - Scritto da: gin

            ma c'è bisogno di tutto questo astio sempre?
            bhoSi chiama "invidia del pene" ed e' una patologia che colpisce tutti quelli che si rendono conto di avercelo molto piu' piccolo del loro interlocutore.
          • bitbit scrive:
            Re: non mi e' chiaro
            Se una chiave è pubblica, come tu HAI SCRITTO, significa che chiunque può accedervi, se invece è solo nella firma delle tue mail (che ORRORE) significa che solo chi riceve le tue mail può accedervi, quindi non è PUBLLICA ma privata.
          • gin scrive:
            Re: non mi e' chiaro
            - Scritto da: bitbit
            Se una chiave è pubblica, come tu HAI SCRITTO,
            significa che chiunque può accedervi, se invece è
            solo nella firma delle tue mail (che ORRORE)
            significa che solo chi riceve le tue mail può
            accedervi, quindi non è PUBLLICA ma
            privata.https://it.wikipedia.org/wiki/Crittografia_asimmetricachiave pubblica e chiave privatano comment
          • bitbit scrive:
            Re: non mi e' chiaro
            - Scritto da: gin
            - Scritto da: bitbit

            Se una chiave è pubblica, come tu HAI
            SCRITTO,

            significa che chiunque può accedervi, se
            invece
            è

            solo nella firma delle tue mail (che ORRORE)

            significa che solo chi riceve le tue mail può

            accedervi, quindi non è PUBLLICA ma

            privata.

            https://it.wikipedia.org/wiki/Crittografia_asimmet
            chiave pubblica e chiave privata
            no commentUn informazione (chiave) che conosci solo tu e i tuoi corrispondenti non puoi considerarla pubblica (disponibile a TUTTI). Se poi per PUBBLICA intendi l'opposto di PRIVATA nella crittografia asimmetrica allora ok, no comment...
          • sarchetto scrive:
            Re: non mi e' chiaro
            [img]http://files.itproportal.com/wp-content/uploads/2014/11/Wall-Climbing.png[/img]
      • bubba scrive:
        Re: non mi e' chiaro
        - Scritto da: panda rossa
        - Scritto da: Scumm78

        io gia' ora posso configurare che il mio
        server

        di posta non invii email se l'altro server
        non

        supporta TLS quindi basta mettersi daccordo
        per

        forzare questa

        cosa

        Il mio server di posta non supporta TLS, ma in
        compenso puoi sempre criptare i messaggi che mi
        mandi: la mia chiave pubblica e' nota ai miei
        corrispondenti.e rimane l'undubbio vantaggio di poter "interrogare" i server a mano, invece di sclerare (come gia' avviene ora... port 465 smtp over ssl or port 587 smtp con startls e auth eencodata, e poi il cagone paranoico di risponde con https://support.google.com/mail/answer/78754 ... pfff)
      • Teo_ scrive:
        Re: non mi e' chiaro
        - Scritto da: panda rossa
        - Scritto da: Scumm78

        io gia' ora posso configurare che il mio
        server

        di posta non invii email se l'altro server
        non

        supporta TLS quindi basta mettersi daccordo
        per

        forzare questa

        cosa

        Il mio server di posta non supporta TLS, ma in
        compenso puoi sempre criptare i messaggi che mi
        mandi: la mia chiave pubblica e' nota ai miei
        corrispondenti.Beato te: io uso S/MIME da almeno 15 anni ma avrò sì e no 10 corrispondenti a cui posso scrivere in maniera cifrata.
Chiudi i commenti