Michal Ždanský Eftir nokkra daga af innri rannsókn Apple gaf fyrirtækið út yfirlýsingu um reiðhestur iCloud reikninga sumra fræga einstaklinga, þar sem viðkvæmar myndirnar láku til almennings. Að sögn Apple var myndunum ekki lekið með því að hakka iCloud og Find My iPhone þjónustuna, þar sem hvernig tölvuþrjótarnir náðu myndunum, ákváðu verkfræðingar Kaliforníufyrirtækisins markvissa árás á notendanöfn, lykilorð og öryggisspurningar. Þeir tjáðu sig hins vegar ekki um hvernig iCloud myndirnar voru fengnar.
Samkvæmt Wired voru lykilorðin sprungin með því að nota réttarhugbúnað sem notaður var af ríkisstofnunum. Á auglýsingatöflunni Anon-IB, þar sem nokkrar frægðarmyndir birtust, ræddu sumir meðlimir opinskátt um notkun hugbúnaðarins fyrir hönd ElcomSoft Phone Lykilorðsbrjótur. Þetta gerir þér kleift að slá inn notendanöfn og lykilorð sem þú fékkst til að sækja allar öryggisafrit af iPhone og iPad. Að sögn öryggissérfræðings sem Wired ræddi við samsvara lýsigögnin úr myndunum notkun umrædds hugbúnaðar.
Tölvuþrjótarnir þurftu aðeins að fá notendanöfn (Apple ID) og lykilorð, sem þeir náðu líklega þökk sé áðurnefndri aðferð með því að nota forritið iBrute ásamt Find My iPhone varnarleysinu, sem gerði árásarmönnum kleift að giska á lykilorðið án takmarkana á fjölda tilrauna. Apple lagfærði varnarleysið fljótlega eftir að það uppgötvaðist. Sú staðreynd að fórnarlömb tölvuþrjótaárásarinnar notuðu ekki tvíþætta staðfestingu, sem krefst þess að slá inn kóða sem sendur var í símann, spilaði líka stórt hlutverk. Það skal tekið fram að tveggja þrepa sannprófun á ekki við um iCloud öryggisafrit og Photo Stream þjónustu, hins vegar myndi hún gera það mun erfiðara að fá notendanafn lykilorð í fyrsta lagi.
Hins vegar, jafnvel með tveggja þrepa staðfestingu, er iCloud ekki fullkomlega varið. Eins og Michael Rose uppgötvaði af þjóninum TUAW, þegar Photo Stream, Safari öryggisafrit og tölvupóstskeyti eru samstillt við nýja Apple tölvu er engin viðvörun til notanda um að gögn hafi verið opnuð úr nýju tölvunni. Aðeins með vitneskju um Apple ID og lykilorð var hægt að hlaða niður nefndu efni án vitundar notandans. Eins og þú sérð eru skýjaþjónustur Apple enn nokkrar sprungur, jafnvel þótt notandinn sé varinn með tveggja þrepa sannprófun, sem, við the vegur, er enn ekki í boði í td Tékklandi eða Slóvakíu. Enda lækkuðu hlutabréf Apple um fjögur prósent eftir þetta mál.
Þú myndir ekki trúa því hvernig frægt fólk með geðveikt einfalt lykilorð og klámmyndir í símanum sínum getur fært hlutabréf svona stórs fyrirtækis :)
Þeir eiga órjúfanlegan þátt í því að notendur týndu gögnum sínum og töluvert næði, þannig að í þessu tilfelli er fullkomlega eðlilegt að hlutabréf lækki. Það er allavega verið að læra að huga að öryggi og okkur notendum virðist það allavega vera í lagi ;-).
Svo, lykilorð voru klikkuð með því að nota iBrute forritið, sem notar prufu/villuaðferð til að prófa öll oft notuð lykilorð samkvæmt einhverri orðabók. Veikleikinn var sá að fórnarlömbin voru með orðabók eða veikt lykilorð og Apple lokaði ekki á þessa aðferð (t.d. með því að takmarka fjölda misheppnaðra tilrauna á mínútu) í Find My Phone (nú lagað). Þegar þeir höfðu fengið lykilorðin gátu þeir gert hvað sem þeir vildu. En til þess að birta ekki upplýsingar um skráningu annars tækis með sama Apple ID, sóttu þeir fullkomið öryggisafrit af iPhone frá iCloud með því að nota EPPB forritið og drógu myndir úr öryggisafritinu með því forriti. Ályktun - gott lykilorð er einfaldlega nauðsyn.
Það kæmi mér ekki á óvart ef það væri líka greitt. kasta eins miklum óhreinindum og hægt er á Apple risann nokkrum dögum fyrir kynningu á ofurnýjum hlutum. Það er líka ein af mögulegum sviðsmyndum um hvernig það hefði getað verið. Til þess að maður verði spenntur fyrir hlutabréfum í dag þarftu bara að gera þér grein fyrir hversu viðkvæmt það er. En sá sem er bestur mun alltaf fá snúning, það mun ekki breytast.
Þeir eiga órjúfanlegan þátt í því að notendur týndu gögnum sínum og töluvert næði, þannig að í þessu tilfelli er fullkomlega eðlilegt að hlutabréf lækki. Það er allavega verið að læra að huga að öryggi og okkur notendum virðist það allavega vera í lagi ;-).
Jú, Apple borgar aldrei fyrir neitt. Hættu að verja ráðið hvað sem það kostar. Það er nú þegar vandræðalegt. Þeir deildu því bara
Í dag fékk ég tölvupóst frá "checkauth@apple.com". Það lítur nákvæmlega út eins og Apple og það segir að forrit sem ég nota ekki einu sinni hafi verið hlaðið niður af reikningnum mínum. Þegar ég fór að breyta lykilorðinu mínu vísaði það mér á síðu sem lítur bara út eins og Apple.com, en vefslóðin er greinilega önnur.