iMessageとFaceTimeのセキュリティがボロボロだったことが判明 通信内容、Apple ID、パスワードがダダ漏れ

このエントリーをはてなブックマークに追加
1番組の途中ですがアフィサイトへの転載は禁止です

解読不可能のはずの「iMessage」が実は解読可能でIDやパスワードも読めることが判明

エドワード・スノーデン氏によって暴露されたNSAのスパイ行為事件において、
Appleから「通信は暗号化されているのでAppleを含む第三者が通信内容を知ることは不可能」とされていたiMessageやFaceTimeが実はApple自身によって解読可能だったことが判明しました。
さらに、第三者が通信を傍受することで、MITM攻撃(中間者攻撃)を可能にする危険も含まれており、
Appleが以前から公言してきた「iMessageやFaceTimeの通信には『エンド・トゥ・エンド』の暗号化を行っているので、受信者と送信者以外は内容を見ることはできない」とする説明に相反するものになっています。

レポートでは「Appleの通信は、すべてSSLのトンネルを通っている」として安全性の高さを認めつつ、公開鍵を操作して中間者攻撃を試したところ、成功してしまったとのこと。
これは、公開鍵のピン留め(ピンニング)が行われていないことを意味します。
そこで次に偽造のCA(認証局)を作成したところ、いとも簡単に暗号の解読ができてしまったとのことでした。

それ以上に驚きだったのは、SSL通信の中でありながら、AppleIDとパスワードが見えていたこと。
つまり、暗号化されていないプレーンテキストでデータが送られていたことが明らかになりました。
Appleがその情報を入手して他に流用する可能性は低いとしても、この手法を使えば第三者が他人のIDとパスワードを入手できてしまうという状況となっているのです。

下記がその時のデータ。パスワードとユーザーIDが表示されているのがわかります。

http://i.gzn.jp/img/2013/10/18/apple-can-read-imessage/01.png



http://gigazine.net/news/20131018-apple-can-read-imessage/
2番組の途中ですがアフィサイトへの転載は禁止です:2013/10/18(金) 23:57:47.59 ID:PORevBZU0
plistに平文で入れてるのかw
3番組の途中ですがアフィサイトへの転載は禁止です:2013/10/18(金) 23:58:43.70 ID:0Qf3TlYd0
FaceTimeでの相互オナニー動画が流出するまでは騒ぐ必要無いな
あるなら早よう
4番組の途中ですがアフィサイトへの転載は禁止です:2013/10/18(金) 23:59:51.63 ID:EWDtQLc/0
それは既に痴漢者トーマスが流出させてるだろ?
5番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:03:18.97 ID:jAlKBT+s0
Apple信者がこのスレでどんな擁護をするか楽しみだw
6番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:05:14.46 ID:EWpLzyoG0
Mac買ったけど友達いないからiMessageとFaceTimeなんて一度も使ったことがない

ただの一度もだ!!
7番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:06:18.57 ID:ggwQc1aO0
SSLだからってプレーンテキストでIDPASS送るとか日本のなんちゃってIT並の斜め上ですわー
8番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:07:03.09 ID:I9ap0H9D0
iMessageってFBIすら破れないって評判じゃなかったか?
9番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:10:32.35 ID:HQ+0FeqG0
>>6
俺もだ同志よ
10番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:11:50.28 ID:xOpsRcV50
MS,Google,apple,facebookはCIA機関
11番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:12:21.42 ID:Yk54QS7c0
>>6
俺は自分のMacとiPhoneで交信したぜ
12番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:14:27.11 ID:I9ap0H9D0
MacのiMessageはもうちょっとやる気出せよ
未完成品だろあれ
13番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:14:40.47 ID:mW4ZolKD0
よかった、LINEだった
14番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:15:53.86 ID:VlYcAZe20
>>8
破る必要がないからな。
15番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:16:54.06 ID:6d4V7HYJ0
で、どうやったら第三者が通信を傍受できんの?
16番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:18:37.71 ID:LBH3KJLB0
米政府が暗号を解読、インターネット崩壊へ
http://itpro.nikkeibp.co.jp/article/COLUMN/20131011/510542/
17番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:20:09.64 ID:ihEf8ENa0
信者の言い訳まだー?
18番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:24:14.72 ID:il8eZp1U0
というか暗号化を破れるか破れないかぐらい、リバースエンジニアリングでさっさと判明しそうなものだがなぁ
19番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:30:42.87 ID:ygAAyS9e0
LINEを証拠に警察が逮捕した事件を見て
「あ、LINEって見られてんだな」って思ったわ
20番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:30:56.72 ID:Uxitf1em0
Facebook認証でLINE使ってる俺が勝ったか
MNPできるようにメインのメールはgmailだし
21番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:33:55.51 ID:j+rkVQv00
スカイプだけじゃなくてFaceTimeも盗聴されてんのかよ

LINE使いが一番情強だった件
22番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:35:16.00 ID:VlYcAZe20
そもそもSSLだのHTTPSってのは
ブラウザが承認してる鍵発行機関がアメリカと通じてたらアウトなんだよ?
信用するほうが、おかしい。
23番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:37:02.12 ID:n1stQsP80
信者「ありがたやありがたや 天国に届け!このパスワード!」
24番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:37:40.07 ID:ygAAyS9e0
日本人に見られるくらいならアメリカ人に見られた方がマシな気がするわ
俗語や方言になると意味わからんだろうしな
LINEとかマジかんべん
25番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:43:16.60 ID:lTsqsUQl0
つーか解読云々の前にFBIがSSL秘密鍵提出させてその事実も公言してはならないという裁判所命令出す反則技やってるんだが。
SSLは無意味。

スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い
http://www.geekpage.jp/blog/?id=2013/10/18/1
26番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:48:16.48 ID:VzwwIZ5xO
>>6
俺2台あるから並べて使ったことがある
27番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 00:56:31.48 ID:3EFMbylZ0
iOSが安全なのは人力でウィルススキャンしているだけだからな。
それ以外は平均以下。
28番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 01:02:09.21 ID:XCrVmJ8f0
人力でウィルススキャンwww

知ったかも程々にしとけ
29番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 01:23:46.95 ID:I9ap0H9D0
アプリの審査のこと言ってんじゃないの
30番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 01:48:34.38 ID:JPa6Qv440
平文で送っていることに今まで誰も気付かなかったのか?
31番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 01:48:59.70 ID:fyvfdv0B0
ハウス食品グループ、主要サイト分析に「Adobe Marketing Cloud」を導入
http://marketing.itmedia.co.jp/mm/articles/1310/02/news056.html
32番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 02:27:13.82 ID:nq7wGBpK0
ティムクックのパスダセーーーーーー
33番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 02:35:08.89 ID:ggwQc1aO0
>>30
Fiddlerみたいに偽の証明書かましてSSL通信の中身をみることができるソフトがある時点で
そういうことはできるんだろうなと思っても、普通わざわざアプリがなに送信してるかとか
SSL破ったりしようとは思わないからな
平文見られて仮にIDPASSが分かっても別にそこまでガチガチにしなくていいものってあるとは思うけど
Apple自体が通信内容を知ることは不可能と言ってるんじゃあかんとは思う
34番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 03:57:20.33 ID:D++S5RbU0
しかし
専門的すぎて意味がわからない

>>5
現れないか「でもGoogleは…Googleは…」と繰り返すか
35番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 03:58:37.34 ID:ii/Bggmk0
Appleは堅牢で安心じゃなかったんですか!?
36番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 04:02:53.00 ID:D++S5RbU0
手抜きか故意か
故意だろうな
37番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 04:05:21.65 ID:L2H/0Fhu0
>>20
gmail使ってる時点で
38番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 05:28:49.70 ID:oNIyaHSG0
ザルじゃねーかwwww
平文ってwwwww
39番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 05:34:57.48 ID:zVu3UOeF0
> iMessage
友達居ないから使った事無い俺、大勝利
40番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 05:47:32.66 ID:qPzgRCze0
iMessageをオフにして、SMS/MMSを使った方が安心ってこと?
41番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 07:08:06.45 ID:w/yjEI/v0
Google批判していた人はどうしたんだろうな
42番組の途中ですがアフィサイトへの転載は禁止です:2013/10/19(土) 09:21:48.29 ID:/BxbF5zq0
Googleは言うまでもなくAppleも・・・
それでも日本企業による日本人向けのサービスで、取って代われるものがないという絶望感
43番組の途中ですがアフィサイトへの転載は禁止です
iOSはともかくAndroidの方はオープンソースだろ?
カスロムとやらで解決できないの?
そこに期待してたんだけど

そう言えばハードレベルでも覗き窓があるとか効いたっけ