Когда Apple выложила в открытый доступ руководство по безопасности iOS, это был беспрецедентный шаг, позволивший широким массам получить представление о построении защиты ее продуктов. Это руководство также стало путеводной нитью для специалиста по криптографии Мэтью Грина (Matthew Green) и четырех его учеников, выпускников университета Джона Хопкинса, решивших проверить надежность защиты приложения iMessage, а также помогло им обнаружить ряд серьезных уязвимостей, эксплойт которых ставит под угрозу конфиденциальность зашифрованных сообщений.

Эти уязвимости были закрыты с выходом iOS 9.3 и обновленной версии OS X. Однако еще более важен, пожалуй, контекст, который они привнесли в конфликт Apple и ФБР, возникший из-за криптозащиты. Грин и его команда наглядно продемонстрировали, что при наличии адекватных ресурсов атакующему вполне под силу найти слабости в славящемся своей безопасностью коммерческом мессенджере и использовать их для перехвата сообщений, передаваемых на целевое устройство. Исследователи доказали, что инициированный ФБР судебный приказ об ослаблении криптозащиты и другие предложения вроде депонирования ключей не нужны, если есть шанс отыскать подобные проблемы с безопасностью.

«Это не дает доступ к данным на телефоне, — заявил один из соавторов исследования Иан Майерс (Ian Miers). — Дело в том, что криптозащита в данном случае действительно сильна. iMessage — это классический пример того, как это следует делать, а криптографы Apple считаются одними из лучших знатоков своего дела, но они оплошали. Если уж они могут ошибаться, можно себе представить, до какой степени все пойдет вкривь и вкось, если добавить сложные механизмы вроде депонирования ключей и бэкдоров. Насколько хуже все станет, если ослабить защиту? Нельзя рассчитывать, что криптосистема будет работать как часы, если добавить дополнительные политики».

По свидетельству Майерса, найденные ими уязвимости были привнесены на этапе проектирования iMessage. Университетские исследователи обнаружили узкое место в криптографическом протоколе, используемом всеми приложениями этой IM-службы. Его-то и заметил Грин, изучая руководство по безопасности iOS.

«Там схематически представлена структура криптозащиты, и очевиден небольшой промах в ее реализации», — констатирует Майерс. Вместо того чтобы ввести проверку подлинности зашифрованного фрагмента iMessage, Apple предпочла снабжать каждый блок ECDSA-подписью. По свидетельству исследователя, эти подписи можно атаковать, что ставит под угрозу не только передаваемые сообщения, но также те, что хранятся на серверах Apple в течение 30 дней.

Уязвимости в iMessage были приватно раскрыты в ноябре; патчи для них были выпущены в минувший понедельник, в составе обновлений для iOS и OS X (10.11.4). Проблемы были решены разными способами, в том числе закреплением сертификатов (pinning) на всех каналах, используемых iMessage, а также снятием сжатия, применявшегося к содержимому вложений на этапе формирования сообщения.

Из статьи университетских исследователей:

«Результаты показали, что атакующий, завладевший шифротекстами iMessage, может расшифровать более ранний трафик, по крайней мере некоторые типы сообщений. Поскольку Apple сохраняет недоставленные шифрованные сообщения на серверах и хранит их до 30 дней, эти сообщения могут стать достоянием каждого, кто получит доступ к этой инфраструктуре, к примеру, с разрешения суда или путем компрометации глобальной сети серверов Apple. Таким же образом атакующий, получивший возможность перехватывать TLS-трафик с помощью краденого сертификата, сможет вести перехват сообщений iMessage на версиях iOS и Mac OS X, не использующих закрепление сертификатов на соединениях APNs (Apple Push Network service)».

Майерс пояснил, что их PoC-атака на новейшие версии iMessage или OS X предполагает, что атакующий находится в системе Apple или в позиции «человек посередине», позволяющей перехватывать TLS-трафик для получения доступа к шифротекстам iOS, отправляемым или принимаемым клиентом. Эта атака, хотя и негромкая, потребовала небольшой редакции перехваченного iMessage-сообщения, причем редактировать его пришлось до 130 тыс. раз, что позволило исследователям подметить легкие изменения в отклике и получить больше информации о криптоключе. Продолжительность атаки составила 72 часа, хотя с оптимизацией это время можно сократить; добившись успеха, исследователи смогли с помощью ключа расшифровать вложенные фото и видеоролики, передаваемые в рамках iMessage-коммуникаций.

«Сложнее всего оказалось заполучить сообщение для атаки, — признал Майерс. — Для этого нужно как-то обмануть Apple, прибегнуть к взлому ресурсов, подкупу или сокрушить TLS». При использовании устаревших версий iMessage атакующий мог украсть или подделать сертификат Apple, чтобы взломать TLS. Исследователи пошли другим путем: они создали кастомную версию push-прокси, который имитировал сервер Apple. Его использование позволило проводить локальные атаки против устройств, находящихся в той же сети, однако академики пишут, что при наличии возможности проведения такой атаки на инфраструктуру Apple все эти устройства можно атаковать и удаленно. В большинстве случаев университетским исследователям удалось посредством атаки получить до 224 бит секретного криптоключа и довершить дело брутфорсом с недорогой стандартной аппаратуры.

«Основной вывод: небеса пока не рушатся, — заключает Майерс. — Не стоит забывать, что выстроить крепкую криптозащиту нелегко, и добавление бэкдоров и прочих осложнений лишь умножит проблемы».

Категории: Главное, Уязвимости