科客點(diǎn)評(píng)：手機(jī)隱私漸漸成為了每一位用戶關(guān)注的問(wèn)題，但目前來(lái)看，這方面的技術(shù)似乎還沒(méi)達(dá)到人們的理想。

　　竊聽(tīng)iMessage信息在技術(shù)層面上是很有可能實(shí)現(xiàn)的，因?yàn)樵诎l(fā)送和接受信息時(shí)，并沒(méi)有要求用戶核實(shí)加密密鑰。

　　iMessage 工作流程

　　當(dāng)某人，我們暫且稱其為小明，通過(guò)iMessage發(fā)送了一條信息，其發(fā)送的內(nèi)容并不是簡(jiǎn)單從小明的手機(jī)直接發(fā)送到接收人的手機(jī)，這個(gè)接受人我們暫稱為韓梅梅。首先，小明的設(shè)備會(huì)訪問(wèn)蘋(píng)果服務(wù)器，稱為ESS，服務(wù)器儲(chǔ)存了iMessage用戶所有的公共加密密鑰。

　　蘋(píng)果服務(wù)器將韓梅梅的加密密鑰提供給小明。小明的iPhone通過(guò)獲得的密鑰將信息加密，并把密文發(fā)送到蘋(píng)果，蘋(píng)果再給韓梅梅的手機(jī)。使用私鑰解密之后，韓梅梅就可以閱讀小明的信息了。

　　小明的信息在離開(kāi)終端之前就已被加密，這又稱為端到端加密。這一步驟看似天衣無(wú)縫，蘋(píng)果公司似乎無(wú)法閱讀到信息的真實(shí)內(nèi)容。

　　這種集中管理密鑰的方法并不是問(wèn)題所在，其他加密信息服務(wù)商亦在使用同樣的方式。然而，最近有個(gè)博客PO文指出，iMessage用戶無(wú)法確保蘋(píng)果服務(wù)器提供給他們的那套密鑰是正確。因?yàn)槊荑€服務(wù)器本身存在了竊取信息的漏洞。

　　如果方法得當(dāng)，蘋(píng)果的服務(wù)器可以將另外一套FBI可解讀的密鑰發(fā)送給小明，而不是直接提供韓梅梅的正確密鑰。這點(diǎn)在2013年時(shí)就曾引起了研究人員的注意，約翰霍普金斯大學(xué)助理教授Matthew Green就曾提供過(guò)類似的案例。

　　這樣，以后FBI（不是蘋(píng)果公司）就可以解讀所有發(fā)送給小明的iMessage信息了。同樣原理， FBI還可以窺探到所有小明發(fā)送出的信息。

　　密鑰核實(shí)是唯一的解決辦法

　　因此，為了解決這一信息泄露的隱患，唯一的方式就是讓用戶確認(rèn)收到的密鑰是否正確?，F(xiàn)在有一些通訊應(yīng)用，比如一款叫Signal的，用戶在使用時(shí)可以通過(guò)“身份核對(duì)”鍵查看自己與對(duì)方的密鑰指紋。為了確保他們接受到的密鑰是真實(shí)的，兩用戶可以通過(guò)別種聯(lián)系方式發(fā)送密碼，或者直接親自面對(duì)面展示給對(duì)方。

　　很少有人會(huì)在線下核對(duì)密鑰的準(zhǔn)確性，但是只有這樣做才能保證密鑰服務(wù)器不會(huì)搞鬼。但 iMessage尚未采取此類行動(dòng)幫助用戶確認(rèn)密鑰。

　　對(duì)于蘋(píng)果仍未采用手工確認(rèn)方法的原因，我們尚未可知。蘋(píng)果公司也未做出任何回應(yīng)。另外，也許蘋(píng)果公司會(huì)想出一個(gè)更加簡(jiǎn)單的保密方法。

　　就目前來(lái)說(shuō)，F(xiàn)BI或者其他組織，很有可能利用其法律地位強(qiáng)迫蘋(píng)果公司將偽造的密鑰發(fā)送給犯罪目標(biāo)，如紐約時(shí)報(bào)報(bào)道的那樣。雖然此舉顯然遭到了蘋(píng)果公司拒絕，但就目前來(lái)說(shuō)，iMessage漏洞的存在，仍使信息竊取成為可能。(來(lái)源：雷鋒網(wǎng)  原標(biāo)題：《為何蘋(píng)果iMessage無(wú)法保護(hù)你的隱私？》)