Cyril Cattiaux, beter bekend onder zijn alias 'pod2g', weerspreekt Apple's geruststelling dat zijn communicatiedienst iMessage veilig is voor afluisteren. De iPhone-maker heeft in juni verklaard dat berichten die worden verstuurd via sms-alternatief iMessage en videochatdienst FaceTime end-to-end versleuteld zijn "zodat niemand behalve de zender en ontvanger" de conversaties kan zien of lezen.

Verklaring na NSA-onthullingen Snowden

"Apple kan de data niet decrypten", aldus het bedrijf onderaan in zijn verklaring 'Apple’s Commitment to Customer Privacy'. Die verzekering van veiligheid is gedaan in het licht van de aftappraktijken van de Amerikaanse inlichtingendienst NSA. Apple heeft in juni - in navolging van Facebook en Microsoft - de databevragingen van de Amerikaanse overheid geopenbaard.

Cattiaux pareert de bewering dat iMessage veilig is voor afluisteren. Hij legt uit op de hackersconferentie Hack in the Box, die deze week plaatsvindt in Maleisië, dat beheerders binnen Apple wel degelijk berichten kunnen onderscheppen. Dat kan dan uit eigen vrije wil zijn of omdat iemand daartoe wordt gesommeerd -al dan niet met een geheimhoudingsbevel - door de overheid, schrijft de News Service van Webwereld-uitgeverij IDG.

Klopt de sleutel wel?

De crux van de door Cattiaux geconstateerde 'kwetsbaarheid' zit in het feit dat Apple de publieke encryptiesleutels verstrekt waarmee gebruikers hun iMessage- en Facetime-communicatie beveiligen. Wanneer een bericht wordt verstuurd, levert Apple's sleutelserver de publieke encryptie-key aan van de ontvanger. Het valt niet te controleren of dat niet stiekem een andere sleutel is.

"Apple heeft volledige controle over deze public key-directory", zegt security-onderzoeker Cattiaux. De hacker, in dienst van penetratietestingbedrijf Quarkslab, zegt wel dat er geen aanwijzingen zijn dat Apple of de Amerikaanse overheid iMessag-verkeer afluistert. De mogelijkheid daartoe bestaat echter wel, stelt hij. Apple reageert op vragen van de IDG News Service door te verwijzen naar de oorspronkelijke verklaring van juni over de toewijding aan de privacy van klanten.