苹果iMessage不安全

北京时间8月15日消息，据科技网站MacRumors报道，在被约翰·霍普金斯大学一组研究人员发现存在数个缺陷后，苹果已经对iMessage安全协议采取了一系列短期和长期安全措施。

新发现的缺陷不同于约翰·霍普金斯大学研究人员3月份发现的另外一处缺陷。研究人员在论文中详细阐述了被称作“密文攻击”的攻击方法，只要收发双方有一方在线，黑客就可以对某种类型的信息和附件解密。

这种攻击方法要求黑客利用窃取的TLS证书，或通过访问苹果服务器，拦截消息。虽然攻击对技术水平要求相当高，研究人员指出，它仍然能被获得国家资助的黑客所掌握。

研究团队还发现，苹果加密技术不像OTR和Signal等现代加密协议那样定期更换密钥。这意味着相同攻击方法可以用于iMessage历史数据。从理论上说，法庭可以强制苹果让执法人员访问其服务器，利用上述攻击方法解密数据。

研究人员认为，这种攻击方法也适用于采用相同加密格式的其他协议，例如苹果Handoff特性。论文指出，被应用在即时通讯应用中时，OpenPGP协议也可能面临类似攻击。

苹果早在2015年11月就收到相关通报，并在iOS9.3和OS X 10.11.4中修正了iMessage协议中的缺陷。之后，苹果一直通过月度更新包发布补丁软件，修正研究人员发现的问题。

但是，研究团队的长期建议是，苹果应当利用消除iMessage安全协议核心分发机制中缺陷的协议，取代iMessage加密机制。