Luca Annunziata

iMessage non inviolabile

Un hacker studia il protocollo di Cupertino e sostiene che i mezzi per leggere i messaggi degli utenti ci sono. Apple nega tutto: al momento impossibile, e non intendiamo cambiare le cose

Roma - Cyril Cattiaux, hacker già noto alla scena per aver sviluppato un jailbreak per iOS, sostiene che il protocollo di comunicazione via messaggio di iMessagge non sia a prova di bomba: qualunque cosa dica Apple, la possibilità di intercettare le comunicazioni esiste e Apple stessa, o una agenzia governativa, potrebbe ficcare il naso nelle comunicazioni degli utenti. Da Cupertino smentiscono tutto: senza negare la possibilità, ma giurando che non è questo il modo in cui iMessagge funziona.


Nella sua lunga trattazione, Cattiaux di fatto espone la seguente tesi: sebbene le comunicazioni via iMessage viaggino cifrate dal mittente al destinatario, Apple possiede le chiavi della cifratura e quindi in teoria potrebbe agire da man-in-the-middle per tenere traccia (intercettare) il testo inviato. Se NSA, o qualunque agenzia federale o forza di polizia, avesse interesse a leggere i messaggi di qualcuno potrebbe farlo. In teoria. La buona notizia è che, ammette lo stesso hacker, l'implementazione della cifratura del protocollo è adeguata: senza l'aiuto di Apple, chiunque volesse intercettare i messaggi dovrebbe faticare parecchio.

Da parte sua Apple non smentisce Cattiaux, ma ci tiene a precisare: la possibilità illustrata nel whitepaper è teorica, presuppone delle modifiche al protocollo iMessagge che Cupertino non ha intenzione di attuare. Dunque sebbene Apple potrebbe, di fatto non intercetta alcunché: questo, naturalmente, impone a tutti di fidarsi della parola di Tim Cook e compagni, confidando nella fedeltà alla parola data e all'assenza di backdoor nel servizio di cui non possono parlare per via del segreto loro imposto per legge. Le voci di corridoio dicono comunque che Apple, per scelta, cerchi di tenere sui propri server il minimo indispensabile delle informazioni necessarie al funzionamento di iMessage: niente archivio dei messaggi scambiati, così da minimizzare la quantità e la qualità di informazioni che i federali potrebbero chiedere anche con il mandato di un giudice.
Il panorama dunque è il seguente: iMessage è un protocollo proprietario, secondo gli addetti ai lavori ben fatto, ma essendo in natura poco trasparente nel suo funzionamento potrebbe avere delle controindicazioni per la privacy degli utenti fin qui sconosciute. Le comunicazioni dovrebbero viaggiare abbastanza sicure su questi canali: chi avesse da scambiarsi informazioni sensibili farebbe bene a usare piattaforme alternative, preferibilmente open source, che tengano la chiave della cifratura lontana dalle mani dell'intermediario che si occupa di trasferire i dati dal mittente al destinatario.

Luca Annunziata
68 Commenti alla Notizia iMessage non inviolabile
Ordina
  • Beh che novità,smettiamola con il falso mito che apple si occupi di sicurezza.

    Un protocollo è inviolabile fino a quando qualcuno incomincia ad interessarsi alla cosa,non importa che ci siano grandi nomi dietro...
    non+autenticato
  • - Scritto da: Etype
    > Beh che novità,smettiamola con il falso
    > mito che apple si occupi di sicurezza.

    > Un protocollo è inviolabile fino a quando
    > qualcuno incomincia ad interessarsi alla
    > cosa,non importa che ci siano grandi nomi
    > dietro...

    E quanti milioni di anni ci vogliano...
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Etype
    > E quanti milioni di anni ci vogliano...

    perchè mai ?
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: krane
    > > - Scritto da: Etype
    > > E quanti milioni di anni ci vogliano...
    > perchè mai ?

    Matematica.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Etype
    > > - Scritto da: krane
    > > > - Scritto da: Etype
    > > > E quanti milioni di anni ci vogliano...
    > > perchè mai ?
    >
    > Matematica.

    A meno che non credi nella magia...
    krane
    22544
  • - Scritto da: krane

    > A meno che non credi nella magia...

    No quella la lascio agli ApplianiA bocca aperta
    non+autenticato
  • - Scritto da: krane

    > Matematica.

    In matematica c'è sempre una soluzioneSorride
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: krane

    > > Matematica.

    > In matematica c'è sempre una soluzioneSorride

    Ma infatti, e' dai tempi dell'Osso d'Ishango che stiamo cercando l'ultimo numero primo.
    krane
    22544
  • - Scritto da: krane
    > Ma infatti, e' dai tempi dell'Osso d'Ishango che
    > stiamo cercando l'ultimo numero
    > primo.

    Perchè i numeri primi sono un problema ?
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: krane
    > > Ma infatti, e' dai tempi dell'Osso
    > > d'Ishango che stiamo cercando l'ultimo
    > > numero primo.

    > Perchè i numeri primi sono un problema ?

    Si, sono un problema.
    Sai dirmi il numero primo piu' alto che possa esistere ?
    krane
    22544
  • > Sai dirmi il numero primo piu' alto che possa
    > esistere
    > ?

    I numeri primi sono infiniti.
    non+autenticato
  • io per i miei traffici illeciti mi appoggio a FaceTime
  • - Scritto da: bertuccia
    > io per i miei traffici illeciti mi appoggio a
    > FaceTime

    certo, la privacy è solo per i criminali, vero? ma vergognati
    non+autenticato
  • - Scritto da: bubba
    >
    > certo, la privacy è solo per i criminali, vero?
    > ma vergognati

    sto solo dicendo che chiunque debba scrivere qualcosa con un minimo di spessore in più rispetto a "yo, what's up?" userà qualcosa di diverso da imessage / whatsapp / BBM / sarcazzo

    meno pippe mentali su
  • - Scritto da: bertuccia
    > - Scritto da: bubba
    > >
    > > certo, la privacy è solo per i criminali,
    > vero?
    > > ma vergognati
    >
    > sto solo dicendo che chiunque debba scrivere
    > qualcosa con un minimo di spessore in più
    > rispetto a "yo, what's up?" userà qualcosa di
    > diverso da imessage / whatsapp / BBM /
    > sarcazzo
    >
    > meno pippe mentali su
    Ad esempio nel meraviglioso panorama delle iApplicazioni?
    Non essere vago dircelo pure con parole tue.
    A bocca aperta
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    >
    > segnalato alla polizia postale.

    segnalato al RIS Arrabbiato
  • Rotola dal ridere Rotola dal ridere Rotola dal ridere sono piegato in due!!!
    non+autenticato
  • "il filesystem di debian è molto simile al filesystem di linux"?

    ...spettacolo...
    non+autenticato
  • ci sono fior di client liberi, hai crittografia end to end senza intermediari che gestiscano le tue chiavi, sorgenti aperti (quindi minore possibilità di backdoor), ecc..
    non+autenticato
  • - Scritto da: bubba
    > ci sono fior di client liberi, hai crittografia
    > end to end senza intermediari che gestiscano le
    > tue chiavi, sorgenti aperti (quindi minore
    > possibilità di backdoor), ecc..

    Infatti, ma il problema attuale e' che un po' di contatti son su skype (e li otr te lo sogni) un po' su google, un po' su faccialibro, un po' su yahoo... Sarebbe ora di unire i protocolli o creare gateway che consentano di fare interurbane tra un protocollo e l'altro.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: bubba
    > > ci sono fior di client liberi, hai
    > crittografia
    > > end to end senza intermediari che gestiscano
    > le
    > > tue chiavi, sorgenti aperti (quindi minore
    > > possibilità di backdoor), ecc..
    >
    > Infatti, ma il problema attuale e' che un po' di
    > contatti son su skype (e li otr te lo sogni) un
    > po' su google, un po' su faccialibro, un po' su
    > yahoo... Sarebbe ora di unire i protocolli o
    > creare gateway che consentano di fare interurbane
    > tra un protocollo e
    > l'altro.

    Soluzione (molto) piu' semplice: vuoi parlare con me ?
    Usi quello che ti dico io.
    Se non ti garba amici come prima (variante della tecnica "odt o morte" adottata da un collega....)
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: krane

    > Soluzione (molto) piu' semplice: vuoi parlare con
    > me ?
    > Usi quello che ti dico io.
    > Se non ti garba amici come prima (variante della
    > tecnica "odt o morte" adottata da un collega....)

    Ottimo facessimo tutti cosi' addio 3/4 degli amici, calcolando una distribuzione casuale di uso dei protocolli.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Trollollero
    > > - Scritto da: krane
    >
    > > Soluzione (molto) piu' semplice: vuoi
    > parlare
    > con
    > > me ?
    > > Usi quello che ti dico io.
    > > Se non ti garba amici come prima (variante
    > della
    > > tecnica "odt o morte" adottata da un
    > collega....)
    >
    > Ottimo facessimo tutti cosi' addio 3/4 degli
    > amici, calcolando una distribuzione casuale di
    > uso dei
    > protocolli.

    Meglio. Fino a prova contraria chi si occupa di queste cose per mestiere sono io, i motivi tecnici per scegliere una soluzione e scartarne un'altra li conosco sicuramente meglio di molti amici.
    Se ti dico di usare una cosa invece di un'altra e non lo fai, prego, la porta e' di la' -------->
    non+autenticato
  • > > Ottimo facessimo tutti cosi' addio 3/4 degli
    > > amici


    > Meglio. Fino a prova contraria chi si occupa di
    > queste cose per mestiere sono io, i motivi
    > tecnici per scegliere una soluzione e scartarne
    > un'altra li conosco sicuramente meglio di molti
    > amici.
    > Se ti dico di usare una cosa invece di un'altra e
    > non lo fai, prego, la porta e' di la'
    > -------->

    ...disse chi era senza amici.
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: krane
    > > - Scritto da: Trollollero
    > > > - Scritto da: krane

    > > Ottimo facessimo tutti cosi' addio 3/4
    > > degli amici, calcolando una distribuzione
    > > casuale di uso dei protocolli.

    > Meglio. Fino a prova contraria chi si occupa di
    > queste cose per mestiere sono io, i motivi
    > tecnici per scegliere una soluzione e scartarne
    > un'altra li conosco sicuramente meglio di molti
    > amici.

    Ok, e i colleghi tecnici che conoscono le soluzioni quanto te ? Possiam passare ore a parlare di protocolli sotto otr alla fine l'unico escluso e' skype, il protocollo OSCAR o TOC vanno meglio di XMPP, IRC o ICQ ?

    > Se ti dico di usare una cosa invece di un'altra e
    > non lo fai, prego, la porta e' di la'
    > -------->

    Finisci a litigare solo con i contatti tecnici, ma tant'e'...
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Trollollero
    > > - Scritto da: krane
    > > > - Scritto da: Trollollero
    > > > > - Scritto da: krane
    >
    > > > Ottimo facessimo tutti cosi' addio 3/4
    > > > degli amici, calcolando una
    > distribuzione
    >
    > > > casuale di uso dei protocolli.
    >
    > > Meglio. Fino a prova contraria chi si occupa
    > di
    > > queste cose per mestiere sono io, i motivi
    > > tecnici per scegliere una soluzione e
    > scartarne
    > > un'altra li conosco sicuramente meglio di
    > molti
    > > amici.
    >
    > Ok, e i colleghi tecnici che conoscono le
    > soluzioni quanto te ? Possiam passare ore a
    > parlare di protocolli sotto otr alla fine l'unico
    > escluso e' skype, il protocollo OSCAR o TOC vanno
    > meglio di XMPP, IRC o ICQ
    > ?
    >
    > > Se ti dico di usare una cosa invece di
    > un'altra
    > e
    > > non lo fai, prego, la porta e' di la'
    > > -------->
    >
    > Finisci a litigare solo con i contatti tecnici,
    > ma
    > tant'e'...
    T-1000 walks again.....

    Va beh, sintesi:
    OSCAR, ICQ --> protocolli proprietari. Quindi male.
    TOC --> Fuori supporto da 8 anni. Quindi male.
    XMPP --> open ed estensibile, client per quasi ogni cosa.
    IRC ---> open e con client per quasi ogni cosa.

    Dura lotta tra XMPP e IRC. Personalmente scelgo XMPP (estensibile)
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: krane


    > Va beh, sintesi:
    > OSCAR, ICQ --> protocolli proprietari. Quindi
    > male.
    > TOC --> Fuori supporto da 8 anni. Quindi male.
    > XMPP --> open ed estensibile, client per quasi
    > ogni
    > cosa.
    > IRC ---> open e con client per quasi ogni cosa.
    >
    > Dura lotta tra XMPP e IRC. Personalmente scelgo
    > XMPP
    > (estensibile)

    2 propocollo: perdi statisticamente il 50% dei contatti che fanno il tuo stesso ragionamento.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Trollollero
    > > - Scritto da: krane
    >
    >
    > > Va beh, sintesi:
    > > OSCAR, ICQ --> protocolli proprietari.
    > Quindi
    > > male.
    > > TOC --> Fuori supporto da 8 anni. Quindi
    > male.
    > > XMPP --> open ed estensibile, client per
    > quasi
    > > ogni
    > > cosa.
    > > IRC ---> open e con client per quasi ogni
    > cosa.
    > >
    > > Dura lotta tra XMPP e IRC. Personalmente
    > scelgo
    > > XMPP
    > > (estensibile)
    >
    > 2 propocollo: perdi statisticamente il 50% dei
    > contatti che fanno il tuo stesso
    > ragionamento.
    E quindi ?
    Dove starebbe il problema ?
    non+autenticato
  • - Scritto da: Trollollero
    > > 2 propocollo

    Tu addirittura usi un'altra lingua.. chissà quanti amici italiani hai persoDeluso
    -----------------------------------------------------------
    Modificato dall' autore il 23 ottobre 2013 09.20
    -----------------------------------------------------------
  • "Senza l'aiuto di Apple, chiunque volesse intercettare i messaggi dovrebbe faticare parecchio."

    Traduzione:

    Con l'aiuto di Apple, chiunque voglia intercettare i messaggi, puo'!

    Sostituire "chiunque" con un ente governativo a scelta o altri soggetti interessati.
  • - Scritto da: panda rossa
    > "Senza l'aiuto di Apple, chiunque volesse
    > intercettare i messaggi dovrebbe faticare
    > parecchio."

    >
    > Traduzione:
    >
    > Con l'aiuto di Apple, chiunque voglia
    > intercettare i messaggi, puo'!
    >
    > Sostituire "chiunque" con un ente governativo a
    > scelta o altri soggetti interessati.

    e DI CERTO apple li aiuta
    non+autenticato
  • - Scritto da: panda rossa
    > "Senza l'aiuto di Apple, chiunque volesse
    > intercettare i messaggi dovrebbe faticare
    > parecchio."

    >
    > Traduzione:
    >
    > Con l'aiuto di Apple, chiunque voglia
    > intercettare i messaggi,
    > puo'!
    >
    > Sostituire "chiunque" con un ente governativo a
    > scelta o altri soggetti
    > interessati.

    Ovviamente la privacy assoluta è un utopia anche in altre chat di massa (FB, Skype..ecc.) ma Apple che si erge a paldino del cliente più di tutti gli altri concorrenti ne esce con le "ossa rotte" più dei concorrenti.

    ma per certi utenti bastano i genius a convincerli che mamma Apple è santa:

    Clicca per vedere le dimensioni originali

    Clicca per vedere le dimensioni originali

    Rotola dal ridereRotola dal ridereRotola dal ridere
  • Che noia, ma non è più remunerativo vendere informazioni a multinazionali per studi commerciali che ai noiosi federali?
    non+autenticato
  • - Scritto da: fede
    > Che noia, ma non è più remunerativo vendere
    > informazioni a multinazionali per studi
    > commerciali che ai noiosi federali?

    Secondo il rapporto europero su Echelon del 2003 erano i federali a vendere le informazioni commerciali alle multinazionali.
    krane
    22544
  • - Scritto da: fede
    > Che noia, ma non è più remunerativo vendere
    > informazioni a multinazionali per studi
    > commerciali che ai noiosi
    > federali?

    altrimenti come farebbe apple a vincere i processi? e per quanto riguarda i soldi non ha problemi, quarda in quanti comprano ancora il payphone con la mela dietro
    non+autenticato