为什么苹果iMessage没法保护你的隐私

纽约时报最近的一篇报导提到，众多科技公司谢绝政府索取用户数据的要求，而这类行动亦正在成为一种趋势，其中包括科技巨头微软和苹果。根据报导，美国司法部门曾对苹果公司发出法院指令，要求其提供犯罪嫌疑人之间交换的iMessage实时信息。对此，苹果公司回复说，iMessage服务使用了加密算法，所以没法提供该类信息。

但事实上，窃听iMessage信息在技术层面上是很有可能实现的，由于在发送和接受信息时，并没有要求用户核实加密密钥。

iMessage工作流程

当某人，我们暂且称其为小明，通过iMessage发送了一条信息，其发送的内容并不是简单从小明的手机直接发送到接收人的手机，这个接受人我们暂称为韩梅梅。首先，小明的装备会访问苹果服务器，称为ESS，服务器贮存了iMessage用户所有的公共加密密钥。

苹果服务器将韩梅梅的加密密钥提供给小明。小明的iPhone通过取得的密钥将信息加密，并把密文发送到苹果，苹果再给韩梅梅的手机。使用私钥解密以后，韩梅梅就可以浏览小明的信息了。

小明的信息在离开终端之前就已被加密，这又称为端到端加密。这1步骤看似完美无缺，苹果公司仿佛没法浏览到信息的真实内容。

这类集中管理密钥的方法并不是问题所在，其他加密信息服务商亦在使用一样的方式。但是，最近有个博客PO文指出，iMessage用户没法确保苹果服务器提供给他们的那套密钥是正确。由于密钥服务器本身存在了盗取信息的漏洞。

如果方法得当，苹果的服务器可以将另外一套FBI可解读的密钥发送给小明，而不是直接提供韩梅梅的正确密钥。这点在2013年时就曾引发了研究人员的注意，约翰霍普金斯大学助理教授MatthewGreen就曾提供过类似的案例。

这样，以后FBI（不是苹果公司）就可以解读所有发送给小明的iMessage信息了。一样原理，FBI还可以窥测到所有小明发送出的信息。

密钥核实是唯一的解决办法

因此，为了解决这1信息泄漏的隐患，唯一的方式就是让用户确认收到的密钥是不是正确。现在有一些通讯运用，比如一款叫Signal的，用户在使用时可以通过“身份核对”键查看自己与对方的密钥指纹。为了确保他们接受到的密钥是真实的，两用户可以通过别种联系方式发送密码，或直接亲身面对面展现给对方。

很少有人会在线下核对密钥的准确性，但是只有这样做才能保证密钥服务器不会搞鬼。但 iMessage还没有采取此类行动帮助用户确认密钥。

对苹果仍未采取手工确认方法的缘由，我们还没有可知。苹果公司也未做出任何回应。另外，或许苹果公司会想出一个更加简单的保密方法。

就目前来讲，FBI或者其他组织，很有可能利用其法律地位强制苹果公司将捏造的密钥发送给犯法目标，如纽约时报报导的那样。虽然此举明显遭到了苹果公司谢绝，但就目前来讲，iMessage漏洞的存在，仍使信息盗取成为可能。

Via wired

上海德沁机械有限公司

进口扫地机

洗地机