Вчера на сайте Национального Общественного Радио США (National Public Radio, NPR) появился довольно интересный материал под названием «How Well Do Tech Companies Protect Your Data From Snooping». Его автор попытался охарактеризовать крупнейшие американские технологические и телекоммуникационные компании с точки зрения усилий, затрачиваемых на шифрование пользовательских данных.

Список компаний обширный и включает в себя Amazon, AT&T, Comcast, Facebook, Google, LinkedIn, Microsoft, Pinterest, Skype, Snapchat, Twitter, WhatsApp, Yahoo и WordPress, но нас интересует в первую очередь Apple. По данным Стива Хенна (Steve Henn), автора этой статьи, компания из Купертино использует сквозное шифрование для iMessage и при обмене информацией между пользователями и серверами iCloud, но при этом не шифрует письма, отправленные другим почтовым провайдерам.

Другими словами, Apple шифрует электронную корреспонденцию, которую вы посылаете со своего iCloud-ящика на другой ящик, расположенный на серверах яблочного «облака» (и в обратном направлении). Однако письма, отправленные из iCloud на почтовый адрес Gmail или другого сервиса, уходят в незашифрованном виде.

Стоит отметить, что через некоторое время после публикации материала со Стивом Хенном связалась пресс-служба компании из Купертино и уточнила, что данный недостаток присутствует только у «предшественников» iCloud, точнее, серверов, обслуживающих почтовые ящики @mac.com и @me.com. Но в ближайшем будущем Apple собирается устранить эту проблему.

UPD от 17.07.2014: Как сообщает блог 9to5Mac, спустя месяц после обнаружения данного недостатка компания из Купертино включила шифрование писем, отправленных с почтовых ящиков @mac.com и @me.com на серверы других почтовых провайдеров. За сим проблему можно было бы считать решённой, но исследователи безопасности тут же поспешили кинуть ещё один камень в огород Apple.

По их мнению, для шифрования яблочная компания может применять относительно старый алгоритм RC4-128, который значительно слабее AES-128 и оставляет желать лучшего в плане возможного перехвата электронной корреспонденции. Исследователи также отметили, что у Агенства Национальной Безопасности США существуют специальные инструменты для взлома RC4-128. Однако, ни одного подтверждения этим догадкам нет, а пресс-служба Apple пока что не ответила на запрос 9to5Mac.


Читайте также: