'Apple moet iMessage vervangen na beveiligingslek'
De onderzoekers die de versleuteling van iMessage kraakten stellen dat Apple de hele chatdienst zou moeten vervangen voor een veiligere oplossing.
De onderzoekers van de Johns Hopkins University die maandag een beveiligingslek in de versleuteling van iMessage meldden vinden dat Apple de berichtendienst opnieuw moet bouwen, maar dan veiliger. Dat stellen ze in de analyse van hun onderzoekersresultaten (PDF). Doordat ze encryptiesleutels konden achterhalen kregen de onderzoekers toegang tot foto’s en video’s.
Met software die een Apple-netwerk nadoet, konden versleutelde berichten uit de lucht gehaald worden met een link naar de iCloud-server. Standaard wordt een sleutel bestaande uit 64 tekens meegeleverd, zodat de telefoon van de rechtmatige ontvanger het bericht kan openen. De sleutel was overigens onzichtbaar, maar bleek niet toereikend bij 'brute forces' van de onderzoekers. Daarbij raadt software razendsnel talloze combinaties.
Gefixt in iOS 9.3
Apple heeft het probleem maandagavond verholpen in het nieuwe iOS 9.3. De onderzoekers vinden echter dat Apple met een nieuwe berichtendienst moet komen, die wel is gecontroleerd door onafhankelijke beveiligingsexperts.
De bug is overigens niet door de FBI te gebruiken in de San Bernandino-zaak. De methode van de onderzoekers onderschept alleen berichten die worden verzonden. Berichten die opgeslagen op het toestel zijn, kunnen niet worden gezien.