てきとうなメモ

本の感想とか技術メモとか

iMessageのセキュリティ

gigazineの記事がイミフなので、原文をナナメ読みしてみたら、中間者攻撃が可能というだけの話だった。デバイス側に証明書のインストールとかしないといけないけど。

もともとNSAがらみの問題で、AppleがiMeesageの通信内容はApple自身も解読できないよと言ったので、それに対する調査報告ということみたい。

で、Apple以外の攻撃者が中間者攻撃しようとしても難しいけど、Appleそのものだったら可能だよねと言っている。問題点として指摘しているのは証明書が簡単にインストールできるという点と、認証時にSSL上にApple IDのパスワードが生で流れるという点。

証明書が簡単にインストールできるという問題に関しては、まあ利便性との兼ね合いだと思うので一概にどうだとはいえないのではないかな。

SSL経由でApple IDのパスワードがそのまま流れている件は、脆弱性ではあるけど、Apple IDのパスワードはAppleのサイトにログインする時に入力したりするわけで、iMessageだけ頑張ってもなと思う。

Apple自身が解読できないというのは嘘だとは思うが、現状の仕組みを変えるべきとは特に思わなかった。Apple自身にも読むことができないようにすべきという人達には問題だと思うのだけども、実際そのレベルのセキュリティを保持しているサービスはほとんどなさそうな気がする。