A empresa de segurança francesa Quarkslab afirmou que o sistema de criptografia do iMessage, da Apple, pode ser decifrado pela empresa. Mais cedo esse ano, a Apple havia afirmado que as mensagens enviadas pelo iMessage e FaceTime eram protegidas por uma criptografia ponto a ponto, de forma que apenas o remetente e o destinatário poderiam ver as mensagens, e a empresa não poderia decifrar esse conteúdo.
Contudo, de acordo com a Quarkslab, caso a Apple resolva ler as mensagens do iMessage – seja por conta própria ou através de solicitação de algum governo, por exemplo – a empresa consegue realizar a leitura facilmente. De acordo com a empresa, não há evidências de que a Apple ou qualquer governo esteja decifrando as mensagens, mas a ação é possível.
– Não há este modelo de criptografia ponto a ponto como a Apple alega, mas a vulnerabilidade está na principal infraestrutura que é controlada pela Apple. Eles podem modificar uma chave a qualquer momento, inclusive ler os conteúdos das mensagens – afirmou a Quarkslab, em um comunicado no blog oficial da empresa.
As mensagens, contudo, não podem ser visualizadas por hackers, uma vez que é necessário controlar fisicamente o aparelho, e instalar softwares maliciosos utilizando certificados falsos. Contudo, funcionários da Apple não precisariam desse controle e poderiam gerenciar a infraestrutura do aparelho sem a necessidade de ter o aparelho em mãos.
Apesar disso, um dos porta-vozes da Apple, Trudy Muller, disse que a pesquisa, na verdade, discute apenas vulnerabilidades teóricas.
– O iMessage não foi arquitetado para permitir que a Apple leia suas mensagens. A pesquisa discute vulnerabilidades teóricas, que devem solicitar que a Apple refaça a engenharia do sistema do iMessage para poder explorá-las, e a Apple não possui planos ou intenções de fazer isso – afirmou Muller.
Em junho, após as denúncias de espionagem por parte da Agência de Segurança Americana (NSA) feitas por Edward Snowden, a Apple se manifestou contra a atitude do governo, e afirmou que os dados de seus usuários são mantidos em sigilo e criptografados.