I ricercatori della Johns Hopkins University hanno pubblicato il loro studio sulle vulnerabilità di iMessage, un sistema di comunicazione che a loro dire presta il fianco a notevoli problemi di sicurezza nella gestione degli allegati di notevoli dimensioni. Apple ha già rilasciato le patch, in ogni caso.
Il problema è già stato anticipato nei giorni scorsi , e assume una rilevanza tutta particolare nell’ambito dello scontro senza quartiere tra Cupertino e l’FBI sulle protezioni crittografiche di iPhone, iOS e compagnia.
Gli esperti americani spiegano che, dopo attenta valutazione del servizio e dei protocolli di iMessage, sono state individuate “vulnerabilità significative che possono essere sfruttate” da un malintenzionato dotato di strumenti e risorse “sofisticati”. Particolarmente preoccupante è stata la scoperta di un possibile attacco che coinvolge i dati cifrati sotto forma di allegati, decifrabili con un attacco a forza bruta.
Le immagini, i video e gli altri contenuti “pesanti” allegati ai messaggi di iMessage possono essere compromessi grazie alla possibilità di provare più e più volte una combinazione chiave per individuare il codice di accesso a 64 cifre, individuando una cifra alla volta fino al completamento dell’operazione.
Un attacco a forza bruta richiede naturalmente risorse computazionali notevoli, ma stando ai ricercatori un’organizzazione determinata come può essere una forza di polizia federale (qualcuno ha detto FBI?) potrebbe riuscire nell’intento. Ulteriori vettori di attacco non sono stati (ancora) testati a fondo e presentano quindi ancora nuovi rischi tutti da verificare.
Per quanto riguarda le vulnerabilità specifiche indicate nello studio, in ogni caso, le patch che Apple ha incluso in iOS 9.3 assieme a tutto il resto degli update per OS X, watchOS e tvOS sembrano aver neutralizzato il pericolo di compromissione di iMessage.
Alfonso Maruccia
-
profilazione uber alles
Più che un protocollo mi sembra un protocolon.Le mail devono essere leggibili dai vari Yahoo, Google, Microsoft e compagnia cantante.Altrimenti addio ad una buona parte della profilazione del cliente e dei suoi contatti e quindi addio ad una parte degli introiti presenti e futuri (i database rimangono ai venditori che reincrociano continuamente i dati per aumentare la precisone di profilazione per scopi futuri, non necessariamente primariamente economici). -
ed elìminare anche gli mx records?
mi sembra come il registro automobilistico dell'aci..-
Re: ed elìminare anche gli mx records?
Come proponi di fare? Un mercato borsistico dove il migliore offerente riceve le mail per quel determinato dominio?
-
-
Tutto inutile
Il 99% delle email viene violato via trojan o via XXXXXXXXX che si installano apps che transitano dalla russia o dal vietnam per scaricare le email . -
XXXXXXXXX estemporanei
"(1982), quando i tempi tecnologici erano molto meno maturi e l'idea che l'intelligence americana (NSA) e non spiasse il mondo intero era ancora annoverabile tra le teorie dei complotti improbabili"Proprio qui su PI é pieno di avventori ottimistoni ancorata alla mentalità degli anni ottanta. -
non mi e' chiaro
io gia' ora posso configurare che il mio server di posta non invii email se l'altro server non supporta TLS quindi basta mettersi daccordo per forzare questa cosa-
Re: non mi e' chiaro
- Scritto da: Scumm78
io gia' ora posso configurare che il mio server
di posta non invii email se l'altro server non
supporta TLS quindi basta mettersi daccordo per
forzare questa cosaIl problema sono due: il primo è che spesso (come per altri protocolli diversi dall'HTTPS) non viene fatta una validazione della correttezza del certificato: io posso tranquillamente avere un certificato rilasciato dalla mia CA farlocca e presentarmi come smtp.google.com, ma questo non significa che io sia in realtà chi il mio certificato (magari self-signed) dice che io sia. In maniera analoga, non ci sono molti client FTPS che controllano che il certificato del chiamato corrisponda al nome effettivamente chiamato. Il secondo è che le connessioni STARTTLS sono vulnerabili a cosiddetti attacchi encryption downgrade, dove la codifica è semplicemente rimossa. -
Re: non mi e' chiaro
Aggiungo: l'articolo è spiegato meglio su Repubblica (by Tom's hardware) che su PI: come siete messi?-
Re: non mi e' chiaro
- Scritto da: pippuz
Aggiungo: l'articolo è spiegato meglio su
Repubblica (by Tom's hardware) che su PI: come
siete
messi?Vuoi pure una risposta? -
Re: non mi e' chiaro
- Scritto da: pippuz
Aggiungo: l'articolo è spiegato meglio su
Repubblica (by Tom's hardware) che su PI: come
siete messi?come al solito: a XXXX busone a favore di chi paga. "Questo e' PI, bellezza, e tu non puoi farci niente, niente!" (cit.)
-
-
