轉貼洪朝貴
不提供URL LINK
以免被砍文
大家可以 GOOGLE 下找到原文
----
法國資安公司 QuarksLab 公司兩位專家「Pod2G」(Cyril Cattiaux) 跟「GG」 逆向工程分析蘋果電腦號稱極安全的 iMessage,並且展示如何監聽甚至捏造對話, 也證實了蘋果的宣示根本是誤導消費者。
還記得 疑似置入行銷的「iMessage 超安全!」新聞嗎? Snowden 爆料 NSA 透過科技大廠監聽之後, 蘋果甚至還公開聲明: 如果你採用 iMessage 或是 FaceTime 對話, 這些對話都是從頭到尾加密的--只有對話雙方能夠看見其內容。就連蘋果都無法解密。」但事實是: iMessage 的詭異設計, 讓「掌握網路架構的單位/人士 E」可以把自己安插在 D 與 B 兩人的對話當中, 面對 D 時假裝自己是 B, 面對 B 時又假裝自己是 D,不只可以監聽,還可以捏造對話。這種攻擊方式叫做「中間人攻擊 」(Man in the Middle Attack)。巧的是,日前行政院發到全國公教單位的「行動裝置資通安全注意事項」公文當中所大力推薦的 Mobile Device Management (MDM) 技術, 正好讓各單位的網管人員握有「對 iMessage 進行 MitM」所需要的一切條件。法國資安公司 QuarksLab 公司兩位專家「Pod2G」(Cyril Cattiaux) 跟「GG」 逆向工程分析蘋果電腦號稱極安全的 iMessage,並且展示如何監聽甚至捏造對話, 也證實了蘋果的宣示根本是誤導消費者。
日前他們在吉隆坡的 Hack In The Box 會議上, 逐步展示如何攔截兩部 iPhone 之間的 iMessage 對話。 新華網中文報導: 安全人員聲稱:蘋果公司可以解密iMessage。 英文報導: The Verge、 Mac World。 大推 zdnet 這篇, 連結最豐富、 重點最精確。
首先, 破解者在部落格文章裡面就開宗明義地強調:他們的研究只證明蘋果有能力攔截你的 iMessage
....
;而蘋果竟然會這樣設計, 你不覺得可疑嗎? 我個人的判斷是: 這一點都不像是不小心造成的漏洞,反而比較像是刻意安置的後門。
需要有多大的權限才能做這樣的事?(69 頁到 73 頁, "III.4.APPLE BYPASS") 基本上就是掌握網路的那個人或那個組織。誰能掌握全球的網路?當然是 NSA。(而且已證實 NSA 確實躲在全球骨幹網路底下監聽)。
=>
所以美國都可以監控大家 ..
個人積分:0分
文章編號:46917195
個人積分:803分
文章編號:46917586
個人積分:46分
文章編號:46918140
個人積分:0分
文章編號:46918502
個人積分:460分
文章編號:46924598
個人積分:67分
文章編號:47026044
這大聲話講出來,可收不回來了,難道你以為蘋果像大統、味全這些白癡公司,明明掩蓋隱藏不了的醜事還要說慌等人來打臉?
那二個老外所做的展示,用二隻iPhone展示對iMessage的「兩造偽串」,真的說明了什麼?那二隻手機是「乾淨」的嗎?根本不是,首先,你得像要越獄時一樣刻意在iPhone裏開個後門才行。其次,為何要搞這麼複雜的展示,還透過視訊,又沒有專家在場一一驗證其設備和各個過程。
你真有本事,直接了當叫記者拿出自己的iPhone來,看看你有沒有辦法假冒他情婦來聊天。
說到公鑰的問題,更好笑。
首先,iMessage不是直接P2P,它必須透過Apple的伺服器來承轉,那伺服器當然必須能夠正確驗證通話雙方的的公鑰,但通話雙方只需驗證Apple伺服器的公鑰就夠了。
他們不是還扯到植入假公鑰?第一,能做到這一步,NSA已經不需要去透過Apple來監聽了。
第二,是個人的手機比較容易被植入假公鑰,還是Apple的伺服器?你的手機直接驗證公鑰比較安全可靠,還是Apple的伺服器來代勞?一開始又要由誰來認證對方的公鑰?Apple不是嗎?Apple不可信任!噢,這二位安全專家的那間小公司就比較可靠?不要說一個反恐小組就能把這種小公司夷為平地了,他們連一張地區檢察官的搜索狀都擋不了啦。
敬她如女神,戀她如蕩婦,惜她如小女孩。
個人積分:88分
文章編號:47033718
個人積分:226分
文章編號:47091216
