Ondrej Holzman Í byrjun september leysti Apple mjög óþægilegt vandamál með leka á viðkvæmum myndum af iCloud reikningum frægra fræga fólksins. Var ekki þó þjónustan sem slík sé biluð gat Apple áður komið í veg fyrir varnarleysið í formi þess að hægt væri að slá inn lykilorðið óendanlega oft. Hlustaðu bara á öryggissérfræðinginn Ibrahim Balic í London.
Öryggisrannsakandi í London, Balic, tilkynnti Apple um hugsanlegt vandamál löngu áður en tölvuþrjótar uppgötvuðu veikleika iCloud þeir nýttu sér. Pakkari samkvæmt The Daily Dot Apple tilkynnti aftur í mars og lýsti öryggisvandanum nákvæmlega í tölvupósti sínum.
Í tölvupósti til starfsmanna Apple 26. mars skrifaði Balic:
Ég fann nýtt mál sem tengist Apple reikningum. Með því að nota brute force árás get ég reynt meira en tuttugu þúsund sinnum að slá inn lykilorð á hvaða reikning sem er. Ég held að hér ætti að beita takmörkun. Ég læt skjáskot fylgja með. Ég fann sama mál á Google og fékk svar frá þeim.
Það er einmitt með því að slá inn lykilorð endalaust, þökk sé því sem tölvuþrjótarnir fundu loksins lykilorð frægra persónuleika, greinilega brutust þeir inn á iCloud reikninga. Starfsmaður Apple svaraði Balic að hann væri meðvitaður um upplýsingarnar og þakkaði honum fyrir þær. Auk tölvupósts tilkynnti Balic einnig um vandamálið í gegnum sérstaka síðu tileinkað því að tilkynna villur.
Apple svaraði loksins í maí og skrifaði Balic: „Miðað við upplýsingarnar sem þú gafst upp virðist sem það myndi taka óhóflega langan tíma að finna virka auðkenningarlykilinn fyrir reikninginn. Telur þú þig vita um aðferð sem gæti veitt aðgang að reikningnum á hæfilegum tíma?'
Brandon öryggisverkfræðingur Apple tók greinilega ekki uppgötvun Balic eins mikla ógnun. „Ég tel að þeir hafi ekki alveg leyst vandann. Þeir sögðu mér sífellt að sýna þeim meira,“ sagði Balic.
Athyglisvert að eftir að hafa brotnað var hægt að gera við hann einu sinni eða tvisvar.
Það er bara kjarkmikið fólk hjá Apple sem heldur að það sé eitthvað meira en aðrir.
Þannig að umfram allt er sá sem setur lykilorðið 12345 heimskur. Ég myndi ekki djöflast í því. Apple lokar reikningnum eftir að hafa slegið inn rangt lykilorð í annað sinn, sem þýðir að það er enn verið að skrá þig út.
Það er ekki svo langt síðan ákveðinn banki (held ég FIO) átti við svipað vandamál að stríða. Innskráningarnafn viðskiptavinar var númeraröð og eftir að lykilorðið var slegið inn í þriðja sinn var reikningnum lokað og þurfti viðskiptavinurinn að fara í bankann til að endurstilla hann. Jæja, hvað gerðist ekki? Einhver keyrði bara númerin og lokaði á reikning allra.
Eitthvað svipað getur gerst hjá Apple. Einhver mun standast mikla virðingu og hindra þá. Svo, hversu pirrandi er iCloud lykilorð endurstillt?
IMO þetta er eiginleiki til að vernda fávita, það pirrar bara aðra.
Að mínu mati eru 2 sanngjarnar lausnir:
1. ekki leyfa notendum að nota einföld lykilorð og skilja eftir óendanlega margar tilraunir við inngöngu.
2. eftir að rangt lykilorð er slegið inn í xth, bjóðið notandanum annaðhvort heimild í gegnum farsíma, tölvupóst, iCloud lykilorð endurstillt EÐA bíðið í x klukkutíma þar til næstu tilraun, og í tengslum við þetta, vara notandann og Apple við nokkrum röngum slegið inn lykilorð.
Það var svo sannarlega ekki rétt að láta allt vera, leyfa notendum að nota einföld lykilorð og leyfa óendanlega margar tilraunir til að slá þau inn. Það er ljóst að fólkinu sjálfu er um að kenna en fyrirtækið verður að sætta sig við að fólk sé heimskt.
Öryggi var í raun á mjög lélegu stigi. Rétt eins og þú þarft að verja þig gegn tölvuþrjótum, vegna þess að einhver getur alltaf ráðist á, þá þarftu líka að verja þig fyrir heimskum notendum, því þeir verða alltaf til..
Til dæmis myndi önnur lausnin leiða til þess að ef einhver prófaði lykilorð og lokaði reikningum myndi þjónusta þeirra hætta að virka fyrir viðkomandi notendur. Engin samstilling við iCloud. Finnst þér þetta betra? Fyrir svona stór kerfi er nánast engin fullkomin lausn, frekar bara sú sem er minnsta vandamálið.
Apple er með nefið upp og þetta snýst allt um iMoney.
Hér til tilbreytingar ætla ég að laga bashið.
Ef Jobs fengi tækifæri til að koma aftur til heimsins, þá væri það fyrsta sem hann myndi gera að reka að minnsta kosti helming stjórnenda hjá Apple, það væri líklega enginn eftir í þeirri stjórn, því það sem þessi stelpa er að gera í það fyrirtæki, það er það það er í raun toppur, og eins og ég segi, jafnvel maður eins og Jobs hafði mjög rangt fyrir sér þar :-( Jobs var þegar rekinn frá Apple einu sinni á ævinni og það kom mjög illa út, og þegar hann kom aftur, Apple virkaði aftur, en því miður, þeir koma ekki aftur núna, í rauninni að kenna manneskjunni sem mun standa yfir þeim og berja þá í höfuðið og skera hendurnar á þeim