Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties

De onderzoekers die onder leiding van Matthew Green een kwetsbaarheid in de iMessage-dienst van Apple vaststelden hebben hun onderzoek gepubliceerd. Daarin geven zij het advies om de dienst in zijn geheel te vervangen, ondanks de recente patch van Apple.

Matthew Green liet eerder aan The Washington Post weten dat het onderzoek gepubliceerd zou worden als Apple een patch voor de kwetsbaarheid had uitgebracht met de release van iOS 9.3. Dat is maandagavond gebeurd en het onderzoek is inmiddels dan ook in te zien. Daarin stellen Green en zijn medewerkers dat iMessage een wijdverspreide dienst met end-to-end-encryptie is, die echter nog nooit grondig is onderzocht. De auteurs komen na hun eigen uitgebreide analyse tot de conclusie dat iMessage enkele ernstige gebreken vertoont en de beste oplossing is de dienst te vervangen door een goed ontworpen en formeel geverifieerd systeem.

Onderdeel van die oplossing zou het implementeren van een nieuw encryptieprotocol kunnen zijn, zo schrijven zij. Daarbij is te denken aan een bestaand protocol dat forward secrecy en berichtauthenticatie gebruikt, zoals OTR of TextSecure. Dat laatste protocol is bijvoorbeeld aanwezig in de cryptochatapp Signal. De onderzoekers geven aan dat het moeilijk is om de gehele iMessage-dienst te vervangen, gelet op het aantal gebruikers. Zij geven daarom ook een aantal patches mee voor op de korte termijn, zoals het geforceerd vernietigen en opnieuw aanmaken van alle sleutelparen door Apple.

De door het team van Green ontdekte kwetsbaarheid maakte het voor een geavanceerde aanvaller mogelijk om bijlagen in iMessage-berichten te ontsleutelen door een Apple-server na te bootsen en herhaaldelijk delen van een encryptiesleutel te raden. Uit het onderzoek blijkt dat het team in staat was binnen 35 uur 232 van de 256 bits van de sleutel te achterhalen met een gemiddelde vertraging van 309 milliseconden. Daarbij maakten zij in eerste instantie gebruik van het feit dat iMessage het versleutelde deel van een bericht niet juist authenticeert. In tweede instantie konden zij de versleutelde tekst aanpassen en deze herhaaldelijk ter decryptie aanbieden aan de afzender of ontvanger.

Moderatie-faq Wijzig weergave

Reacties (74)

Daarin stellen Green en zijn medewerkers dat iMessage een wijdverspreide dienst met end-to-end-encryptie is, die echter nog nooit grondig is onderzocht
Hoe zit dit eigenlijk met andere diensten? Is whatsapp bijvoorbeeld wel eens op deze wijze onderzocht? Die schermen de laatste tijd toch ook aardig met hun end-to-end encryptie en laten graag horen hoe veilig ze zijn...

Dit is overigens wel de manier waarop dit soort veiligheidszaken aan het licht moeten komen imho. Eerst bij Apple en later alle info vrijgeven. Niet alle (ethische) hackers/onderzoekers geven bedrijven eerst de ruimte om te patchen.

[Reactie gewijzigd door KoningL op 22 maart 2016 14:44]

Het is ook wel een beetje makkelijk van Green. Het probleem is namelijk dat goede security vaak ook ontzettend ongebruiksvriendelijk is. Denk aan PGP mail wat ik aan mijn ouders niet kan uitleggen. Laat staan een email naar een vreemde. Apple heeft echter met iMessage ver voordat asymetrische encryptie een hip iets was, het al geimplementeerd op een wijze die werkt én voor iedereen bruikbaar is. Dat er dan wat theoretische zwakheden in zitten, vind ik eigenlijk niet zo schokkend.

En de zwakheden de Green en zijn studenten gevonden hebben zijn ook nog eens heel beperkt. Green geeft overigens zelf ook toe dat veel van deze onderwerpen heel nieuw zijn. Toen Apple dit ontwikkelde, was er nog geen enkele - letterlijk nul - ervaring in de praktijk, dus Apple was een echte pionier.

En wat zijn nu de zwakheden:
- er is geen zogenaamde echte HMAC gebruikt als handtekening/ondertekening an het bericht, maar een gewone hash. Deze dan wél weer met moderne ECDSA. Gevolg is dat een aanvaller zelf een nieuwe handtekening kan zetten nadat het een bericht heeft weten te modificeren.
- je kon oneindig een bericht sturen naar een ontvanger.

In combiantie kon met attachements decoderen. Niet gewone iMessages, maar attachments. Dit omsat deze als URL verzonden worden samen met de key, waar het echte bericht op een iCloud server staat.

De tweede zwakheid (het oneindig kunnen proberen) is nu aangepakt, waardoor de brute force aanval gestuit is.

Wat Green en zijn studenten deden is slim en heeft een aantal nieuwe aspecten (de APN gebruiken als onderschepping bijvoorbeeld), maar is ook weer niet schokkkend. Het idee dat iMessage vervangen moet worden is volstrekt onzin, gezien het feit dat meeste concurenten nog steeds symetrsiche encryptie gebruiken waar de zaak in plain-text op servers staat. En juist nu we meer weten over iMessage (dankzij dit en eerder onderzoeken van o.a. Green) het juist eigenlijk wel meevalt met de onveiligheid.

Besef immers dat iMessage vooral een vervanger voor SMS/MMS is. En de overweldigende meerderheid van de berichten huis-tuin-en-keuken berichten zijn waar asymetrsiche encryptie uperhaupt zware - zeer zware - 'overkill' is.

Tenslotte, de enige main-stream dienst die wellicht het op papier beter doet is WhatsApp. (Alle andere vereisen ongebruiksvriendelijke side-channels om sleutels uit te wisselen. Denk aan de private chat van Telegram.) En ook dat is closed source, en enkel op basis van geruchten dat inderdaad de asymetrsiche encryptie nu uitgerold is naar andere platformen dan Android. Iets wat tot de dag van vandaag nog niet officieel bekend is.

Ik ben normaal kritisch op Apple betreft security (qua het heel FBI disk encryptie bijvoorbeeld heeft men geblunderd qua ontwerp), maar betreft iMessage heeft men het eigenlijk behoorlijk goed voor elkaar. Zeker als je beseft dat zij pioniers waren die als eerste een poging waagden.

Laat al die concurerende ongetwijfeld theoretisch betere technieken eerst maar eens volwassen worden qua gebruiksvriendelijkheid. Vooralsnog zijn WhatsApp en iMessage de enige die asymetrsiche encryptie naar de gewone massa gebruiker hebben weten te brengen.
Signal is hardstikke gebruiksvriendelijk en tegelijkertijd open source en zeer veilig. Het is alleen relatief onbekend.
Overzichtje en wat meer info: https://www.eff.org/secure-messaging-scorecard

[Reactie gewijzigd door t1mmy op 22 maart 2016 14:52]

Dat staatje zegt niet veel. Dit is een ander onderzoek. Waar het onderzoek van eff.org nog veilig geeft, stelt dit onderzoek iets anders: het probleem is wijder verbreid dan alleen iMessage.

9 Conclusion
This work leaves several open questions. First, the gzip format oracle attack we describe against iMessage may apply to other protocols as well. For example, OpenPGP encryption (as implemented by GnuPG) also employs gzip and may be vulnerable to similar attacks when it is used for online applications such as instant messaging.
Al valt het in de praktijk wel mee. Dat compressie in encryptie een gevaar is, is al langer bekend. O.a. de CRIME aanval op TLS.

Maar er is ook vrij goed bekend hoe dit soort aanvallen af te slaan. In de praktijk is het namelijk niet zo makkelijk iMessage aan te vallen.

En sinds gisteren/iOS 9.3 dus 'geheel' niet meer, dankzij het niet langer kunnen herhalen van gemodificeerde berichten.
Dit onderzoek was onzin.. ze hebben niks getest en alleen documentatie gelezen.
WhatsApp gebruikt Axolotl, van Signal/TextSecure. Dat is stevig onderzocht, en op dit moment zijn daar nul lekken in bekend en is het een van de veiligste systemen, oa dankzij het implementeren van zieel future secrecy als perfect forward secrecy.
Overigens schermt WhatsApp totaal niet met encryptie, die hebben er zelf nooit met ook maar een woord over gerept. :P

Het enige probleem is dat WhatsApp de authenticatie functie nog niet is uitgerold, maar die komt er aan. In de tussentijd ben je wel al geheel beveiligd, alleen kan je dat zelf dus nog niet controleren.

WhatsApp en Signal zijn twee van de veiligste chatapps op de markt.

[Reactie gewijzigd door WhatsappHack op 22 maart 2016 15:07]

Ik word een beetje moe van jouw ambassadeursrol omtrent WhatsApp. WhatsApp is niet de heilige graal. Al het andere is in jouw ogen kut en verkeerd, Telegram gebruikt eigen encryptie en dus dat is per definitie verkeerd, cloud-apps met multi-user setup zijn standaard verkeerd. Kan ik van WhatsApp zoveel in de code zien dan?

Als ik iets dergelijks lees als het volgende neem ik het altijd maar met een korreltje zout: http://technical.ly/brook...ally-encrypting-messages/

[Reactie gewijzigd door Fab1Man op 22 maart 2016 15:24]

Ik word een beetje moe van jouw ambassadeursrol omtrent WhatsApp. WhatsApp is niet de heilige graal. Al het andere is in jouw ogen kut en verkeerd, Telegram gebruikt eigen encryptie en dus dat is per definitie verkeerd, cloud-apps met multi-user setup zijn standaard verkeerd. Kan ik van WhatsApp zoveel in de code zien dan?
Dat is dan erg jammer voor je. Dan lees je m'n reacties toch niet? :)
Niemand die je verplicht ze te lezen of er op te reageren...

Al het andere is helemaal niet "kut en verkeerd" in mijn ogen, hoe kom je erbij?
Misschien heb je niet goed gelezen, maar er staat in de post waar je op reageert toch echt ook al een referentie naar Signal, dat ook erg sterk beveiligd is.
Eigen encryptie gebruiken is inderdaad negen van de tien keer verkeerd, en bij Telegram is dat inderdaad ook het geval; nieuws: Audit Telegram-encryptie duidt op gebrekkige beveiliging

Cloud-apps met multi-user setup zijn helemaal niet standaard verkeerd, het ondermijnt enkel de mogelijkheid tot volledige encryptie als het gebruiksvriendelijk moet blijven wat primair de intentie is van die hele cloud setup... Dat is een feit, getuige ook de iMessage problemen. (Zie artikel van vandaag, frontpage Tweakers.)
Maar dat benoemen mag dus niet van jou? ;)

Daarnaast heb ik WhatsApp nooit de heilige graal genoemd.
Voordat je mij dus vals wilt beschuldigen en allerlei woorden in m'n mond wil leggen: leer eerst de feiten eens kennen, en lees m'n posts eens wat beter.

De code heeft er niets mee te maken.
Als ik iets dergelijks lees als het volgende neem ik het altijd maar met een korreltje zout:
Uhhh... Heb je het onderzoek gelezen?
1.) Dat gaat primair over het vastleggen van meta-data, zoals wie naar welk nummer belt via WhatsApp. Logisch dat dat verzameld wordt, en er staat notabene in het artikel op een van de eerste regels:
Reading the study itself showed that while they are indeed collecting data, that data is reasonable given the service they are providing.
2.) Het oordeel over de encryptie waar ze zich op baseren, stamt af uit November 2014; toen WhatsApp voor het eerst een beta-test uitvoerde met de encryptie. Dat heeft dus niets te maken met de huidige situatie, en was een eerste opzet om te kijken hoe het zou reageren op Android.

3.) De conclusie van de onderzoeker is verouderd. Hij wist niet hoe WhatsApp geld kon verdienen met de sterke encryptie. Gelukkig weet WhatsApp dat wél, en is er een plan uitgebracht met het hoe en wat mbt geld verdienen. Best transparant. Dit kwam na dit onderzoek, maar wijst wel een fundamenteel probleem aan: mensen moeten eens leren goed op te passen met het springen tot conclusies... Zeker als features nog in beta zijn, en als de plannen nog niet bekend zijn gemaakt. Leuk al die theorietjes, maar ze presenteren als praktijksituaties is een probleem.
De auteur van dat artikel had het dus ook duidelijk compleet bij het verkeerde eind.

Kortom: neem jij het lekker met een korreltje zout op basis van onderzoeken die zichzelf al nuanceren dat er niet veel waarde aan gehecht moet worden, dan ga ik wel op de feiten en de *huidige* situatie en voortgang van de uitrol; in plaats van onderzoeken tijdens een Alpha versie in 2014.

[Reactie gewijzigd door WhatsappHack op 22 maart 2016 18:48]

Bij die audit van telegram heb ik ook mijn twijfels
Vertel? :)
Wat zijn je twijfels?

Het onderzoek zit goed in elkaar en de conclusie is bevestigd. (Ook door Durov trouwens, maar die vond het niet zo'n groot probleem. (Doet ie wel vaker.))
Er zijn meerdere onderzoeken die problemen vinden in MProto, geen reden om aan te nemen dat deze in twijfel getrokken zou moeten worden.
Mijn fout, ik heb een audit gelezen dacht in het begin van telegram. En dat onderzoek was heel kortaf met weinig onderzoek door een onderzoeker die mij niet betrouwbaar leek. Dit is een andere audit. Dus ik neem deze stellen terug.
Voor de volledigheid: WhatApp heeft de intentie om even veilig te worden als Signal.
Voor zover ik weet zijn nu nog steeds enkel 1 op 1 chats tussen Android gebruikers encrypted. Er wordt echter gewerkt aan uitbreiding naar bijna elke functionaliteit/platform.
Nee dat is al een behoorlijke tijd niet meer het geval.
Sinds Augustus vorig jaar zijn alle chats op iOS, en tussen iOS en Android, ook al encrypt. Sinds December is daar Windows Phone aan toegevoegd. En in de afgelopen maanden zijn toegevoegd:
- BlackBerry (Alle varianten)
- Symbian
Inclusief groepsgesprekken.
Alle chats en groepen zijn nu dus netjes encrypt, al moet ik daar wel bij opmerken dat ik niet 100% zeker ben of de Symbian S40 client al een update heeft gekregen op de toestellen van gebruikers; dus niet 100% of de encryptie daar al actief is. De major platforms, iOS, WP en Android zijn sowieso intussen geheel E2EE; ook onderling. :)

Het artikel waar je naar linkt zijn de vertaalstrings van de verschillende platforms voor Authenticatie; waarbij je dus de sleutels kan verifiëren om te checken of je gesprekken daadwerkelijk encrypt zijn, en dat je praat met wie je denkt te praten. (om MITM tegen te gaan.) :) Dat is de laatste stap om de uitrol op alle platforms af te ronden. Authenticatie is een erg belangrijke functie, en zodra dat er in zit is het klaar.
Ik zag onlangs een gelekt screenshot van een aankomende Whatsapp update waarop die authenticatie functie was te zien. Wanneer verwacht jij die update?
Ik had gehoopt op einde van deze maand, maar ze hebben spontaan wat zaken omgegooid en andere zaken versneld in verband met het hele Apple vs FBI gelazer; waardoor ik denk dat ze dat niet meer gaan halen, en verwacht nu dat het volgende maand wordt.

Ze zouden in eerste instantie een versie uitbrengen die enkel Authenticatie/Verificatie had voor chats + groepsgesprekken + verzendlijsten.
Maar vanwege het huidige gezeik in de VS, en de belofte dat ze Apple in alle opzichten gingen steunen (min of meer oorlog verklarend aan de FBI), hebben ze besloten om ook maar meteen WhatsApp Oproepen toe te voegen aan dat lijstje. :P Ze nemen dus iets langer de tijd, maar dan zijn wel meteen *alle* functies voorzien van zowel E2EE alsmede de broodnodige authenticatie/verificatie...
... Waar ik eigenlijk best wel heel blij mee ben. :P Thanks FBI! :Y)

In de translate engine verschenen gisteren de, voor zover ik kan beoordelen, laatste noodzakelijke strings voor BlackBerry. Voor andere OSes waren die al verschenen. Zodra die goedgekeurd zijn, gok ik dat het echt een kwestie van een laatste test uitvoeren met een grote groep gebruikers is, voordat ze de functie geheel naar iedereen uitrollen...

Ergo: ik verwacht het in de loop van April. :)
Interessant. Waar haal jij die informatie vandaan? Op Tweakers heb ik er niks over gelezen.
Via de EFF (non-public), connecties, eigen onderzoek, en bevestiging via de developer community natuurlijk zoals de makers van WhatsAPI:
https://github.com/mgp25/...tsapp-for-ios-and-axolotl

http://arstechnica.com/te...ew-court-ordered-wiretap/

http://www.nytimes.com/20...e-wiretap-order.html?_r=2
(Niet specifiek over iPhone trouwens, maar "over de gehele linie"; en moest wel lachen om deze quote, dus plaats hem alsnog:
"In a twist, the government helped develop the technology behind WhatsApp’s encryption. To promote civil rights in countries with repressive governments, the Open Technology Fund, which promotes open societies by supporting technology that allows people to communicate without the fear of surveillance, provided $2.2 million to help develop Open Whisper Systems, the encryption backbone behind WhatsApp.")

Op Tweakers heb je er indirect iets over gelezen, maar daar is het nooit expliciet genoemd inderdaad. (Logisch opzich, WhatsApp heeft het immers niet aangekondigd.)
Kan iemand me juist de conclusie eens wat beter toelichten?
Apple heeft een nieuw systeem ontworpen IMessage.
Waar al verschillende pogingen op gedaan zijn om dit te kraken en tot nu toe (bij mijn weten nooit gelukt is). Nu heeft men een kwetsbaarheid gevonden en is deze imo zeer snel gepatched door Apple.

Maar hun oplossing is om dit systeem die toch al wat testen doorgaan heeft en ook gepatcht wordt te vervangen door een compleet nieuw systeem. Een systeem dat nog ontworpen moet worden en bij gevolg nog niets bewezen heeft.

Zouden ze dan niet juist een stap terug zetten...

[Reactie gewijzigd door Skoucail op 22 maart 2016 14:50]

Matthew Greens blogpost leest wat makkelijker dan het paper ;) daarin staat daat Apple een workaround heeft toegepast (paragraaf 7.1 in het paper) om het lek te dichten, niet een structurele oplossing:
As of iOS 9.3, Apple has implemented a short-term mitigation that my student Ian Miers proposed. This relies on the fact that while the AES ciphertext is malleable, the RSA-OAEP portion of the ciphertext is not. The fix maintains a "cache" of recently received RSA ciphertexts and rejects any repeated ciphertexts. In practice, this shuts down our attack -- provided the cache is large enough. We believe it probably is.

In the long term, Apple should drop iMessage like a hot rock and move to Signal/Axolotl.

[Reactie gewijzigd door Rafe op 22 maart 2016 15:40]

Thx voor de extra link :)
Matthew Greens blogpost leest wat makkelijker dan het paper ;) daarin staat daat Apple een workaround heeft toegepast (paragraaf 7.1 in het paper) om het lek te dichten, niet een structurele oplossing:
een work-around die wel werkt he...
Als de basis uitgangspunten van de gekozen encryptie niet juist zijn, zoals de onderzoekers aantonen, Dan is het beter de zaak volledig op de schop te nemen ipv het uitbrengen van tijdleijke patches die telkens weer een nieuw gat vullen om vervolgens weer achterhaald te worden.
Ze tonen dus aan dat de basis zo rot is dat het geen toekomst heeft.
Een slecht fundament kan nooit een goed gebouw oplevren.
Wel dat kan ik nu net niet afleiden uit het onderzoek.
Tenminste niet uit de 18p uit de link.
Vandaar dat ik hoopte op meer info. Wat ik lees is: men geeft een onderzoek gedaan naar de security van IMessage en 1 bewezen probleem gevonden (die dus ondertussen gepatched is). En dan zeggen ze plots high level dat er een hoop problemen zijn en gans het systeem op de schop moet.
Ze geven hier: https://isi.jhu.edu/~mgreen/imessage.pdf
toch een aantal zakern vrij duidleijk omschreven aan.
Een willekeurige:
4 High-level Protocol Analysis
An initial analysis of the iMessage specification shows
that the protocol suffers from a number of defects
die vervolgens keurig toegelciht worden. oa: Lack of forward secrecy, Non-standard encryption iMessage encryption does
not conform to best cryptographic practices and generally
seems ad hoc. etc etc..
Inderdaad ze beschrijven high level enkele features die IMessage niet heeft.
Maar ik vind geen reden die zegt waarom het bestaande systeem niet uitgebreid zou kunnen worden om deze problemen op te lossen.
Of een use case waarin zelfs in een zeer specifieke setting er misbruik van gemaakt kan worden.

Ik besef ten volste dat dit niet evident is voor onderzoekers. Maar mij lijkt het in een studie van amper 18 pagina's nogal een snelle conclusie om te zeggen dat er niets aan gedaan kan worden en men beter vanaf scratch begint.

Waarmee ik dus niet zeg dat dit, na diepgaand onderzoek, niet de conclusie kan zijn. Maar die conclusie trekken op basis van dit onderzoek vind ik kort door de bocht
De eerste helft van paragraaf 7.2 gaat volgens mij precies op je punt in. Niets dat Apple tegenhoudt die functionaliteit zelf in te bouwen, maar het wordt als best practice gezien in cryptografie een goed onderzocht en 'battle tested' systeem over te nemen in plaats van het wiel opnieuw uit te vinden (aka "don't roll your own crypto").
Wel dit is wat me nu net zo verbaast.
Signal noemen ze als een "battle tested" vervanging (eerste versie onder textsecure in 2010)
IMessage uitgerold in 2011.

1 jaar later maar had wel direct pak meer gebruikers. Textsecure was nu eenmaal niet op populair de eerste jaren.

Signal nog geen bekende aangetoonde kwetsbaarheden gevonden. IMessage volgens mij nu de eerste kwetsbaarheid gevonden.

Dus ik geef toe (heb ik ook nooit tegengesproken) dat men zeer correcte punten aanhaalt over IMessage. Maar om direct naar de conclusie te springen dat gans IMessage unsecure is en weg moet vind ik nogal snel.
Lijkt me even "battle tested" als signal of andere alternatieven. Zeker door dat IMessage van in het begin meer belangstelling en gebruikers had. (Neen ik heb geen exacte nummers gevonden)
Met battle tested bedoel ik niet de hoeveelheid gebruikers maar het onderzoek dat is gedaan naar de veiligheid van het protocol. Het huidige Signal-protocol is een doorontwikkeling van OTR en wordt in dit vergelijkende onderzoek als de sterkste optie van het moment genoemd.
Maar als je altijd een protocol neemt wat al battle tested is krijg je nooit nieuwe of betere protocollen.
De geschiedenis wijst uit dat men op den duur nieuwe aanvallen vindt in die battle tested protocollen, en op basis daarvan worden er nieuwe bedacht om er tegen te beschermen.
Dsat een Apple product direct meer gebruikers heeft dan een specifiek product mag niemand verbazen. In veel gevallen is het door de vendor lockin ook een gedwongen winkelnering.
Daarmee is echter een product verre van veilig.
Je weet niet wat ze allemaal nog achterhouden en bovendien het zijn security experts. Ze zien een aantal design fouten en weten al direkt op basis van kennis en ervaring dat die problematisch zijn. Dat het 'slechts' 18 paginas betreft is geen reden om hun conclusie af te wijzen, tenzij je zelf genoeg kennis en autoriteit hebt om hun conclusie af te wijzen. Beoordelen enkel op de lengte lijkt mij nogal kort door de bocht.
Wie zegt dat deze security experts niet bevooroordeeld zijn of dat ze überhaupt kennis hebben van zaken.
De auteurs zullen van mening zijn dat hoewel deze patch de huidige implementatie van de aanval tegenhoud met wat aanpassingen het weer zou werken. Zo krijg je dus een eindeloos straatje waar men steeds een plakker op de wonde aanbrengt maar het fundamentele probleem niet aanpakt. Ze zeggen duidelijk dat de enige manier om hun aanval echt te stoppen een aanpassing is aan de encryptie implementatie. "This change alone would eliminate our active attack on iMessage encryption, ..."

En hoewel dit mss wel kan met aanpassingen aan het huidige systeem is het veel gemakkelijker opnieuw te beginnen. Terug starten met een goede fundering.

[Reactie gewijzigd door Chip5y op 22 maart 2016 15:37]

En hoewel dit mss wel kan met aanpassingen aan het huidige systeem is het veel gemakkelijker opnieuw te beginnen. Terug starten met een goede fundering.
Maar dan ook aangeven hoe je een man in the middle aanval moet doen om de berichten te onderscheppen. Dat lijken de meeste mensen namelijk over het hoofd te zien. Je moet eerst het bericht onderscheppen en kan dan na een behoorlijk aantal uren een deel van het bericht ontcijferen.
Het onderzoek heeft twee voorwaarden:

- Je moet toegang hebben tot de versleutelde berichten en minimaal een van de partijen moet on-line zijn.
- Je moet een deel van het bericht onversleuteld hebben.

Ze tonen dus niet aan dat de basis 'rotten to the core' is.
Los van je beweringen. Ze tonen aan dat de absis van het syteem verkeerd opgezet si en niet voldoet aan encryptie standaarden/best practices. Dat alleen is al voldoende voor hun conclusie.
Soms is een stap terug nodig om verder vooruit te komen. Als ik het zo lees dan zit apple nu met een protocol wat niet veilig is. Die moet veranderd worden. Dat is een stuk lastiger bij een bestaand systeem dan bij een nieuw systeem (maar niet onmogelijk, natuurlijk).
Het is nu veilig, maar het wordt aangeraden om over te stappen op iets wat aantoonbaar uitvoerig is getest.
Alleen bestaat dat dus niet O-)

Green kritiek is dat er bepaalde zwakheden in het ontwerp zijn. Deze zijn echter nauwelijks te misbruiken. Green en zijn studenten zjn de eerste die een echte aanval wisten op te zetten op bepaalde bericjten (met attachments). Deze aanval is vanaf iOS9.3 niet meer mogelijk, en was vanaf iOS 9.0 al een stuk moeilijker. Zij deden de aanval op iOS 8.

Maar de alternatieven die theoretische deze zwakheden niet hebben, zijn allemaal in de praktijk nauwlijks getest. Dan kunnen ze theoretisch mooi zijn, maar bevatten wellicht allerlei implementatie zwakheden.

Green bedoeld echter natuurlijk dat Apple flink geld en mankracht moet steken om die technieken in iOS te integreren. O-) Maar ja, dat is een business beslissing die zakelijk weinig zin heeft, en dat weet Green zelf ook wel.
Je weet niet of het lek snel gedicht is. Er is afgesproken dat er pas over het lek mocht worden gesproken als Apple een patch gereed had. Wie weet is die patch maanden in de maak geweest.

Daar komt bij dat er volgens de onderzoeken nog meer kwetsbaarheden aanwezig zijn:
De auteurs komen na hun eigen uitgebreide analyse tot de conclusie dat iMessage enkele ernstige gebreken vertoont en de beste oplossing is de dienst te vervangen door een goed ontworpen en formeel geverifieerd systeem.

[Reactie gewijzigd door wackmaniac op 22 maart 2016 14:56]

Sorry dat ik nu betuttelend doe:
Misschien wil jij je eerst verdiepen in bestaande algoritmen op punten als beschikbaarheid, openheid en financiering voor dat je insinuaties uit. Als je enkel wat wou vragen, kan dat ook zonder quotes om onderzoekers :P
De door het team van Green ontdekte kwetsbaarheid maakte het voor een geavanceerde aanvaller mogelijk om bijlagen in iMessage-berichten te ontsleutelen door een Apple-server na te bootsen en herhaaldelijk delen van een encryptiesleutel te raden. Uit het onderzoek blijkt dat het team in staat was binnen 35 uur 232 van de 256 bits van de sleutel te achterhalen met een gemiddelde vertraging van 309 milliseconden.
35 uur voor een niet complete sleutel voor 1 bericht. Of lees ik het verkeerd? Het lijkt me hiervoor nogal onzinnig om het hele systeem om te gooien. Op deze manier is de encryptie sterk maar niet te sterk voor inlichtingendiensten, eigenlijk een beetje zoals met encryptie voor GSM waarbij men gekozen heeft voor een verzwakt algoritme omdat de Engelsen dit wilde.
Matthew Green heeft aangegeven dat het team geen optimalisaties heeft uitgevoerd, ze denken dat "it could be made to run in a fraction of a day" als iemand daar wel moeite in zou steken.
Matthew Green heeft aangegeven dat het team geen optimalisaties heeft uitgevoerd, ze denken dat "it could be made to run in a fraction of a day" als iemand daar wel moeite in zou steken.
Kan het nog vager? Fraction of a day....Wellicht mogelijk als iemand anders optimaliseerd....

Ik kan me niet aan de indruk ontrekken dat de heer Green een prachtige kans zag om zijn firma wat te pushen. De suggestie dat iMessage vervangen moet worden en dus onmogelijk gepatched kan worden (terwijl ze met veel moeite een deel van een paar berichten hebben ontcijferd, zonder aan te geven HOE ze aan de file kwamen) is redelijk belachelijk. In de praktijk is dit absoluut geen gevaar voor je tekstjes van je vrouw over hoeveel pakken melk je moet meenemen uit de super.

Jammer dat Tweakers de tekst overnam zonder een kanttekening te maken.
Green en zijn team hebben aangetoond dat het mogelijk is en daarbij een nieuwe techniek uitgevonden. "Fraction of a day" zal een educated guess zijn, het 'weaponizen' van dit proof of concept was niet het doel noch het aanvallen van alle encryptieprotocollen die gzip gebruiken. Het punt blijft staan. Elk goed onderzoek biedt weer kansen voor vervolgonderzoek ;)

Hoofdstuk 6 beschrijft hoe men aan berichten is gekomen. Apple had in november 2015 nog geen pinning toegepast voor iMessage-verbindingen en dat maakt MITM vrij eenvoudig. Dit is een bekend probleem, ook de ING en de ABN zijn hier ingestonken met hun apps voor internetbankieren.

Verder beschrijft het einde van 5.3 hoe met deze kennis het mogelijk is om de client met niet-Apple domeinen te laten communiceren, zodat MITM niet meer nodig is. Er wordt niet gecontroleerd of het domein van de URL überhaupt wel icloud.com is.

En ja, Green freelanced naast zijn werk voor Johns Hopkins. Je moet me even helpen hoe hij dat pusht met dit universiteitsonderzoek? Of het moet verboden zijn een goede reputatie te hebben?
En om een bericht te 'ontsleutelen' moet je het ook eerst nog hebben en dat impliceert dat je ook eerst nog een 'man in the middle' succesvol uit moet voeren ;-)
Het probleem lijkt de multi-device setup te zijn. Dat is de achilleshiel van alle cloud based diensten, en al die cloud-based diensten lijken problemen met hun beveiliging te hebben... Apple kon altijd al je e2ee berichten meelezen als ze zouden willen, overigens.
Het probleem lijkt de multi-device setup te zijn. Dat is de achilleshiel van alle cloud based diensten, en al die cloud-based diensten lijken problemen met hun beveiliging te hebben... Apple kon altijd al je e2ee berichten meelezen als ze zouden willen, overigens.
Ware woorden. Multi-device is inderdaad het grootste probleem om voor elkaar te boksen, waar hier over wordt gestruikeld. Lastig, want Apple zoekt natuurlijk de beste encryptie / usability trade-off.
Geen fijn nieuws voor Apple. Ze beweren juist heel er goed op privacy te letten. Jammer dat iMessage van de basis niet goed in elkaar zit, zeker nu het erg populair is. Mogelijk is dit ook koren op de molen van alternatieven. Signal werkt volgens de berichtgeving prima en heeft een beter opbouw. iMessage is wel goed verbonden met de totale iOS beleving en nu ook op OSX.

Er zullen waarschijnlijk nieuw OS'en aan te pas komen om de boel nog beter op te bouwen tot de beste iMessage ooit.
Signal is een hele goede (en gratis!) app, meer mensen zouden die moeten gebruiken. Opensource en gemaakt door goodguy Moxie_Marlinspike.
Laatste update iOS app: 10 nov 2015. Oké doei!
Wat moet er geupdate worden aan een App die goed is? Nieuwe smileys? ;) ;)
En waarom zouden we de dienst van Microsoft gebruiken en niet van Apple? Alles wat jij noemt heeft Apple al. Daarnaast vertrouw ik Microsoft nog minder met mijn data dan Apple, zie: Skype

[Reactie gewijzigd door t1mmy op 22 maart 2016 14:56]

Omdat die wel cross platform wordt. Als je een grotere groep wil bereiken moet die ook op zoveel mogelijk devices beschikbaar zijn. Wel zo handig voor een messaging dienst.
Niet voor niets dat een dienst zoals WhatsApp en Skype VEEL meer gebruikt worden.
Vergis je niet in het gebruik van iMessage in voornamelijk Amerika, daar wordt het meer gebruikt dan Whatsapp waarschijnlijk (er zijn geen officiele cijfers, maar ik ken maar weinig Amerikanen die Whatsapp gebruiken en genoeg die iMessage gebruiken).
Je bevestigt wat ik zeg; de VS is een land met een in verhouding groter apple device gebruik.
Vergis je niet in de wereldwijde Android domination mobiel, Windows op desktop en bedrijfsleven, als ook de sterke opkomst van Facebook messenger.

En je bedoelt vast de VS. Amerika is wat groter dan alleen de VS.

[Reactie gewijzigd door Tweaker1234 op 22 maart 2016 17:03]

Google hoef je ook niet te vertrouwen want die draagt de gegevens in het gros van de verzoeken over en daar doen ze ook niet erg geheimzinnig over. Wat je niet weet is er of er naast de officiële verzoeken ook nog andere methodes zijn om achter de informatie te komen.

Daarbij moet je je afvragen of encryptie überhaupt wel een oplossing is en of er geen alternatieven zijn.

De aanslag deze ochtend gaan al veel geruchten de ronden. Alleen zal encryptie echt niet het verschil hebben gemaakt.
De wannabee terrorist Abdeslam werd afgelopen weekend opgepakt met een stomme gsm, cq dumphone.
http://www.demorgen.be/ni...rraden-abdeslam-b814dcca/

Door de focus op een bepaald punt te gaan leggen worden er alternatieven gezocht en encryptie is zo oud als de weg naar Rome. En soms is de beste manier om iets te verhullen door het juist open en bloot neer te zetten. Het is de minst waarschijnlijke plek waar gezocht wordt.
En waarom zouden we nou wéér gebruik willen gaan maken van een gesloten product van een leverancier met discutabele reputatie? Als we toch gaan wisselen van client, geef mij dan maar een open product met goede end-to-end encryptie, gebruik makend van open standaarden.
Volgens https://en.wikipedia.org/wiki/Rich_Communication_Services is RCS proprietary anders... Wat is er open aan volgens jou?
RCS is een open standaard van 3GPP die iedereen mag implementeren.
De vraag is natuurlijk of er binnen RCS gebruik wordt gemaakt van gepatenteerde technieken wat betekend dat er wat restricties zijn.

Iedereen die het wilt mag zondermeer RCS implementeren en iedere RCS client kan met elkaar communiceren zonder beperkingen en dat is naar mijn mening een open standaard. (Whatsapp is geen open standaard)

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True