Naukowcy uniwersyteccy John Hopkins ujawnili, że system bezpieczeństwa iMessage nie jest tak silny, jak chce to wyglądać firma Apple, znajdują sposoby na dostęp do danych, do których teoretycznie dostęp powinien być niemożliwy, biorąc pod uwagę bezpieczeństwo oferowane przez te z Cupertino.
Według wyjaśnień badaczy udało im się odszyfrować niektóre wiadomości lub załączniki wysyłane przez użytkowników, gdy byli oni online, metoda polegała na ich przechwyceniu za pomocą skradzione certyfikaty TLS, co nie jest trudne do osiągnięcia przez wiele firm pracujących dla rządów różnych krajów.
Atak jest bardzo złożony, ale może zostać przeprowadzony przez wykwalifikowanych hakerów. Dużym problemem jest to, że Apple nie zmienia regularnie swoich kluczy szyfrowania danych, jak ma to miejsce w przypadku innych nowoczesnych aplikacji do przesyłania wiadomości, dzięki czemu haker może uzyskać dostęp do danych wysyłanych przez użytkowników za pośrednictwem iMessage.
Oddzielony od iMessage, atak można zastosować także przeciwko systemowi Handoff przesyłającemu dane poprzez Bluetooth, o problemie powiadomionym w listopadzie 2015 roku przez firmę Apple, jednak został on rozwiązany dopiero w iOS 9.3 lub OS X 10.11.4, ale zmiany wprowadzone przez Apple mają niestety krótkotrwały efekt.
Ogólnie rzecz biorąc, z naszej determinacji wynika, że chociaż kompleksowy protokół szyfrowania iMessage stanowi ulepszenie w porównaniu z systemami, które używają szyfrowania tylko w ruchu sieciowym (np. Google Hangouts), wiadomości wysyłane za pośrednictwem iMessage mogą nie być bezpieczne przed wyrafinowanymi przeciwnikami.
Badacze cyberbezpieczeństwa zalecają Apple wdrożenie innego systemu szyfrowania danych, który wyeliminuje słabe punkty w protokole dystrybucji, jednak jest mało prawdopodobne, aby Apple w najbliższym czasie dokonało takiej zmiany, biorąc pod uwagę, że byłoby to niezwykle skomplikowane.
Firmy Apple próbują zabezpieczyć swoje produkty przed hakerami, ale także agencje bezpieczeństwa różnych zagranicznych rządów lub pracujące dla nich firmy ochroniarskie, ale wysiłki te wciąż nie przynoszą pożądanych rezultatów.
