Panoramica sulla sicurezza di iMessage
Apple iMessage è un servizio di messaggistica per iPhone e iPad, Apple Watch e Mac che supporta testo e allegati come foto, contatti, posizioni, link e allegati direttamente in un messaggio, come ad esempio l’icona del pollice rivolto verso l’alto. I messaggi compaiono su tutti i dispositivi registrati dell’utente, in modo da poter continuare la conversazione su qualsiasi dispositivo. iMessage fa un uso estensivo del servizio di notifiche push di Apple (APN). Apple non tiene traccia di messaggi o allegati e i loro contenuti sono protetti da una codifica end‑to‑end in modo che solo il mittente e il destinatario possano accedervi. Apple non può decrittografare i dati.
Quando un utente attiva iMessage su un dispositivo, questo genera coppie di chiavi di firma e codifica da utilizzare con il servizio. Per la codifica, il dispositivo fa uso di una chiave RSA a 1280 bit e di una chiave EC a 256 bit sulla curva NIST P-256. Per le firme, vengono usate chiavi di firma da 256 bit basate su ECDSA (Elliptic Curve Digital Signature Algorithm). Le chiavi private vengono salvate nel portachiavi del dispositivo e sono disponibili solo dopo il primo sblocco. Le chiavi pubbliche vengono inviate al servizio Apple Identity Service (IDS), dove sono associate al numero di telefono o all’indirizzo e‑mail dell’utente, insieme all’indirizzo APN del dispositivo.
Man mano che gli utenti abilitano altri dispositivi per l’utilizzo di iMessage, le loro chiavi pubbliche per la codifica e la firma, gli indirizzi APN e i numeri di telefono associati vengono aggiunti al servizio di directory. Gli utenti possono anche aggiungere altri indirizzi e‑mail, che vengono verificati con l’invio di un link di conferma. I numeri di telefono vengono verificati dalla rete e dalla SIM del gestore. Con alcune reti, tale operazione richiede l’utilizzo del servizio SMS (all’utente viene mostrata una finestra di conferma se il messaggio SMS non è gratuito). La verifica del numero di telefono può essere richiesta per vari servizi di sistema oltre a iMessage, come FaceTime e iCloud. Tutti i dispositivi registrati dell’utente mostrano un messaggio di avviso quando viene aggiunto un nuovo dispositivo, numero di telefono o indirizzo e‑mail.