iMessageに脆弱性―米大学の研究チームが指摘

 
アップルがiMessageに脆弱性を抱えていたことが、ジョン・ホプキンス大学によって指摘されました。同大学の研究者によれば、iMessageは「選択暗号文攻撃（chosen-cipher text attack）」に対して無防備な状態にありました。

条件付だが暗号解除がどこからでも可能

暗号文の専門家であるMatthew Green氏がセキュリティ・フォーラムで明らかにしたところによると、iMessageの暗号プロトコルに対して、「選択暗号文攻撃」を仕掛けたところ、同サービスのデータや添付ファイルを暗号解除（復号化）できてしまったそうです。
 
高度な技術がいるうえ、送信者や受信者がオンラインであること、テキストにGzip圧縮ファイルが含まれていないと復号化はできないなどの条件はありますが、理論的にはどこからでも「フォーマット・オラクル攻撃」とでも呼べるもので、暗号解除できてしまうとGreen氏は語ります。

総括すると、iMessageのエンドツーエンド暗号プロトコルは、ネットワーク・トラフィックのみに基づく暗号化を利用するシステムに対しては改善を示す一方、iMessageを通して送られたメッセージは洗練された攻撃に対抗できるとは限らない。我々は結論として、Messageの暗号文を取得した攻撃者であれば、少なくとも特定のメッセージに対しては、遡及的にトラフィックを暗号解除できてしまうということを示している。

iMessageの根本的な見直しを提案

 
この他にも研究チームは、iMessageのデバイス登録やキー配布についてもいくらかの脆弱性を発見し、アップルが暗号キーを一定間隔で切り替えないがために、攻撃者から容易にハッキングされてしまう状況などを指摘しています。
 
幸いにも、アップルは指摘を受けて、すでに2016年3月にリリースされたiOS9.3で対策を施しています。ただし、iMessageの暗号プロトコルを全体的に見直すべきだとして、なおもGreen氏らは警鐘を鳴らしています。
 
 
Source：iPhone in Canada, DECCAN Chronicle
(kihachi)