I ricercatori della Johns Hopkins University hanno pubblicato il loro studio sulle vulnerabilità di iMessage, un sistema di comunicazione che a loro dire presta il fianco a notevoli problemi di sicurezza nella gestione degli allegati di notevoli dimensioni. Apple ha già rilasciato le patch, in ogni caso.
Il problema è già stato anticipato nei giorni scorsi , e assume una rilevanza tutta particolare nell'ambito dello scontro senza quartiere tra Cupertino e l'FBI sulle protezioni crittografiche di iPhone, iOS e compagnia.
Gli esperti americani spiegano che, dopo attenta valutazione del servizio e dei protocolli di iMessage, sono state individuate “vulnerabilità significative che possono essere sfruttate” da un malintenzionato dotato di strumenti e risorse “sofisticati”. Particolarmente preoccupante è stata la scoperta di un possibile attacco che coinvolge i dati cifrati sotto forma di allegati, decifrabili con un attacco a forza bruta.
Le immagini, i video e gli altri contenuti “pesanti” allegati ai messaggi di iMessage possono essere compromessi grazie alla possibilità di provare più e più volte una combinazione chiave per individuare il codice di accesso a 64 cifre, individuando una cifra alla volta fino al completamento dell'operazione.
Un attacco a forza bruta richiede naturalmente risorse computazionali notevoli, ma stando ai ricercatori un'organizzazione determinata come può essere una forza di polizia federale (qualcuno ha detto FBI?) potrebbe riuscire nell'intento. Ulteriori vettori di attacco non sono stati (ancora) testati a fondo e presentano quindi ancora nuovi rischi tutti da verificare.
Per quanto riguarda le vulnerabilità specifiche indicate nello studio, in ogni caso, le patch che Apple ha incluso in iOS 9.3 assieme a tutto il resto degli update per OS X, watchOS e tvOS sembrano aver neutralizzato il pericolo di compromissione di iMessage.
Alfonso Maruccia
-
non mi e' chiaro
io gia' ora posso configurare che il mio server di posta non invii email se l'altro server non supporta TLS quindi basta mettersi daccordo per forzare questa cosaRe: non mi e' chiaro
- Scritto da: Scumm78> io gia' ora posso configurare che il mio server> di posta non invii email se l'altro server non> supporta TLS quindi basta mettersi daccordo per> forzare questa cosaIl problema sono due: il primo è che spesso (come per altri protocolli diversi dall'HTTPS) non viene fatta una validazione della correttezza del certificato: io posso tranquillamente avere un certificato rilasciato dalla mia CA farlocca e presentarmi come smtp.google.com, ma questo non significa che io sia in realtà chi il mio certificato (magari self-signed) dice che io sia. In maniera analoga, non ci sono molti client FTPS che controllano che il certificato del chiamato corrisponda al nome effettivamente chiamato. Il secondo è che le connessioni STARTTLS sono vulnerabili a cosiddetti attacchi encryption downgrade, dove la codifica è semplicemente rimossa.Re: non mi e' chiaro
Aggiungo: l'articolo è spiegato meglio su Repubblica (by Tom's hardware) che su PI: come siete messi?Re: non mi e' chiaro
- Scritto da: pippuz> Aggiungo: l'articolo è spiegato meglio su> Repubblica (by Tom's hardware) che su PI: come> siete> messi?Vuoi pure una risposta?Re: non mi e' chiaro
- Scritto da: pippuz> Aggiungo: l'articolo è spiegato meglio su> Repubblica (by Tom's hardware) che su PI: come> siete messi?come al solito: a XXXX busone a favore di chi paga. "Questo e' PI, bellezza, e tu non puoi farci niente, niente!" (cit.)Re: non mi e' chiaro
- Scritto da: Scumm78> io gia' ora posso configurare che il mio server> di posta non invii email se l'altro server non> supporta TLS quindi basta mettersi daccordo per> forzare questa> cosaIl mio server di posta non supporta TLS, ma in compenso puoi sempre criptare i messaggi che mi mandi: la mia chiave pubblica e' nota ai miei corrispondenti.Re: non mi e' chiaro
- Scritto da: panda rossa> - Scritto da: Scumm78> > io gia' ora posso configurare che il mio> server> > di posta non invii email se l'altro server> non> > supporta TLS quindi basta mettersi daccordo> per> > forzare questa> > cosa> > Il mio server di posta non supporta TLS, ma in> compenso puoi sempre criptare i messaggi che mi> mandi: la mia chiave pubblica e' nota ai miei> corrispondenti.e dove sarebbe pubblicata, codesta pubblica chiave?Re: non mi e' chiaro
- Scritto da: ...> - Scritto da: panda rossa> > - Scritto da: Scumm78> > > io gia' ora posso configurare che il mio> > server> > > di posta non invii email se l'altro server> > non> > > supporta TLS quindi basta mettersi daccordo> > per> > > forzare questa> > > cosa> > > > Il mio server di posta non supporta TLS, ma in> > compenso puoi sempre criptare i messaggi che mi> > mandi: la mia chiave pubblica e' nota ai miei> > corrispondenti.> > e dove sarebbe pubblicata, codesta pubblica> chiave?Nella firma dei miei messaggi di posta.Re: non mi e' chiaro
- Scritto da: panda rossa> - Scritto da: Scumm78> > io gia' ora posso configurare che il mio> server> > di posta non invii email se l'altro server> non> > supporta TLS quindi basta mettersi daccordo> per> > forzare questa> > cosa> > Il mio server di posta non supporta TLS, ma in> compenso puoi sempre criptare i messaggi che mi> mandi: la mia chiave pubblica e' nota ai miei> corrispondenti.e rimane l'undubbio vantaggio di poter "interrogare" i server a mano, invece di sclerare (come gia' avviene ora... port 465 smtp over ssl or port 587 smtp con startls e auth eencodata, e poi il cagone paranoico di risponde con https://support.google.com/mail/answer/78754 ... pfff)Re: non mi e' chiaro
- Scritto da: panda rossa> - Scritto da: Scumm78> > io gia' ora posso configurare che il mio> server> > di posta non invii email se l'altro server> non> > supporta TLS quindi basta mettersi daccordo> per> > forzare questa> > cosa> > Il mio server di posta non supporta TLS, ma in> compenso puoi sempre criptare i messaggi che mi> mandi: la mia chiave pubblica e' nota ai miei> corrispondenti.Beato te: io uso S/MIME da almeno 15 anni ma avrò sì e no 10 corrispondenti a cui posso scrivere in maniera cifrata.XXXXXXXXX estemporanei
"(1982), quando i tempi tecnologici erano molto meno maturi e l'idea che l'intelligence americana (NSA) e non spiasse il mondo intero era ancora annoverabile tra le teorie dei complotti improbabili"Proprio qui su PI é pieno di avventori ottimistoni ancorata alla mentalità degli anni ottanta.Tutto inutile
Il 99% delle email viene violato via trojan o via XXXXXXXXX che si installano apps che transitano dalla russia o dal vietnam per scaricare le email .ed elìminare anche gli mx records?
mi sembra come il registro automobilistico dell'aci..Re: ed elìminare anche gli mx records?
Come proponi di fare? Un mercato borsistico dove il migliore offerente riceve le mail per quel determinato dominio?profilazione uber alles
Più che un protocollo mi sembra un protocolon.Le mail devono essere leggibili dai vari Yahoo, Google, Microsoft e compagnia cantante.Altrimenti addio ad una buona parte della profilazione del cliente e dei suoi contatti e quindi addio ad una parte degli introiti presenti e futuri (i database rimangono ai venditori che reincrociano continuamente i dati per aumentare la precisone di profilazione per scopi futuri, non necessariamente primariamente economici).Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti23 03 2016
Link copiato negli appuntiTi potrebbe interessare
![Alfonso Maruccia]()
23 03 2016Link copiato negli appunti
