複数のテクノロジー企業がNSAのPRISMデータマイニングプログラムに積極的に参加しているという6月の報告書を受けて、Appleは政府の情報要求とユーザーのプライバシーに関する声明を発表した。
声明の中で同社はiMessageのメッセージにアクセスしたり復号したりできないと示唆し、Appleがそれらの会話を傍受できるのではないかという懸念を和らげた。しかし、研究チームによると、そうではない可能性があるという。
侵入テスト会社Quarkslabは、クアラルンプールで開催されたHack the Boxカンファレンスでのプレゼンテーションで、AppleはiMessageの公開鍵にアクセスできるため、実際にメッセージを傍受できると述べた。
この名前に聞き覚えがあるとしたら、それはシリル・カティオー(通称pod2g)がそこでセキュリティ研究者として働いているからです。pod2gは数々の脱獄や脱獄関連ソフトウェアの開発に携わっており、ハッキンググループevad3rsに所属しています。
Macworld のレポート:
「しかし、クアラルンプールで開催されたハック・イン・ザ・ボックス会議に参加した研究者らは、アップル社内の誰かが自らの意志で、あるいは政府に強制されてメッセージを傍受することが可能である可能性を示した。
iOSの脱獄ソフトを開発し、侵入テストとリバースエンジニアリングを行うパリの企業Quarkslabで働くシリル・カティオ氏は、iMessageが解読不可能な暗号化で保護されているという同社の主張は「基本的にウソだ」と語った。
研究者らは、Appleや政府がiMessageを読んでいるという兆候はなく、それが可能であるということだけだと強調した。」
iMessage を暗号化するために、Apple は公開鍵暗号方式を採用しています。つまり、すべてのデバイスに秘密鍵と公開鍵の両方が割り当てられます。iMessage が送信されると、受信者のデバイスの公開鍵を使用してメッセージが暗号化されます。
メッセージは受信時に秘密鍵によって復号されます。しかし、Appleは公開鍵を管理しているため、理論上は、送信者に気付かれることなく、公開鍵を置き換えたり追加したりして送信メッセージを傍受することが可能です。
Appleはコメント要請に応じず、前述のプライバシーステートメントを引用するにとどまった。しかし、pod2gとその関連会社によると、この問題を解決する唯一の方法は、真のエンドツーエンド暗号化を導入することだという。
