Michal Ždanský Az Apple több napos belső vizsgálata után a cég közleményt adott ki ezzel kapcsolatban néhány híresség iCloud-fiókjának feltörése, melynek kényes fotói a nyilvánosság elé kerültek. Az Apple szerint a fotók nem az iCloud és a Find My iPhone szolgáltatások feltörésével szivárogtak ki, mivel ahogyan a hackerek megszerezték a képeket, a kaliforniai cég mérnökei a felhasználónevek, jelszavak és biztonsági kérdések elleni célzott támadást határoztak meg. Arról azonban nem nyilatkoztak, hogyan kerültek az iCloud-fotók beszerzésére.
A Wired szerint a jelszavakat a kormányhivatalok által használt törvényszéki szoftver segítségével törték fel. A hirdetőtáblán Anon-IB, ahol több híresség fotója is megjelent, néhány tag nyíltan megvitatta a szoftver használatát a nevében ElcomSoft Phone Password Breaker. Ez lehetővé teszi a kapott felhasználónevek és jelszavak megadását a teljes biztonsági mentési fájlok lekéréséhez az iPhone és iPad készülékről. A Wired által megkérdezett biztonsági szakértő szerint a fotók metaadatai megegyeznek az említett szoftver használatával.
A hackereknek csak felhasználóneveket (Apple ID) és jelszavakat kellett beszerezniük, amit valószínűleg a program használatával korábban említett módszernek köszönhettek. iBrute valamint a Find My iPhone sebezhetősége, amely lehetővé tette a támadók számára, hogy a próbálkozások számának korlátozása nélkül kitalálják a jelszót. Az Apple hamarosan befoltozta a sérülékenységet, miután felfedezték. Nagy szerepe volt annak is, hogy a hackertámadás áldozatai nem alkalmaztak kétlépcsős azonosítást, amihez a telefonra küldött kód megadása szükséges. Megjegyzendő, hogy a kétlépcsős azonosítás nem vonatkozik az iCloud biztonsági mentési és Photo Stream szolgáltatásaira, azonban eleve sokkal megnehezítenék a felhasználónevek jelszavainak beszerzését.
Az iCloud azonban még kétlépcsős azonosítással sem védi ideálisan. Ahogy a szerver Michael Rose felfedezte TUAW, amikor a Photo Stream, a Safari biztonsági mentés és az e-mail üzeneteket egy új Apple számítógépre szinkronizálja, a felhasználó nem figyelmezteti, hogy az új számítógépről hozzáfértek az adatokhoz. Csak az Apple ID és jelszó ismeretében lehetett letölteni az említett tartalmat a felhasználó tudta nélkül. Mint látható, az Apple felhőszolgáltatásaiban még akkor is vannak repedések, ha a felhasználót kétlépcsős azonosítás védi, ami egyébként továbbra sem elérhető például Csehországban vagy Szlovákiában. Végül is az Apple részvényei az ügy után négy százalékkal estek.
Nem is hinnéd, hogy egy pár celeb egy dementán egyszerű jelszóval és pornófotókkal a telefonján hogyan tudja egy ekkora cég részvényeit megmozgatni :)
Nekik szerves részük van abban, hogy a felhasználók elvesztették az adatokat, és nem kevés a magánéletük, így ebben az esetben teljesen rendben van, ha a részvények esnek. Legalább megtanulunk odafigyelni a biztonságra, és mi, felhasználók, legalább úgy tűnik, rendben leszünk ;-).
A jelszavakat tehát az iBrute programmal törték fel, amely próba/hiba módszerrel próbálja ki az összes gyakran használt jelszót valamilyen szótár szerint. A gyengeség az volt, hogy az áldozatok szótárral vagy gyenge jelszavakkal rendelkeztek, és az Apple nem blokkolta ezt a módszert (pl. a sikertelen próbálkozások percenkénti számának korlátozásával) a Telefonkeresésben (most már javítva). Miután megvoltak a jelszavak, azt csinálhattak, amit akartak. Azonban annak érdekében, hogy ne fedjenek fel információkat egy másik, ugyanazzal az Apple ID-vel rendelkező eszköz regisztrációjáról, letöltötték az iPhone teljes biztonsági másolatát az iCloudból az EPPB program segítségével, és a biztonsági másolatból kinyerték a fényképeket ezzel a programmal. Következtetés - egy jó jelszó egyszerűen kötelező.
Nem lepődnék meg, ha ez is fizetett lépés lenne. a lehető legtöbb koszt az Apple óriásra dobni néhány nappal a szuperúj dolgok bemutatása előtt. Ez is az egyik lehetséges forgatókönyv, hogy hogyan is történhetett. Ahhoz, hogy az ember ma izguljon a részvények miatt, nem kell mást tennie, mint rájönni, milyen érzékeny. De aki a legjobb, azt mindig feldobják, ez nem fog változni.
Nekik szerves részük van abban, hogy a felhasználók elvesztették az adatokat, és nem kevés a magánéletük, így ebben az esetben teljesen rendben van, ha a részvények esnek. Legalább megtanulunk odafigyelni a biztonságra, és mi, felhasználók, legalább úgy tűnik, rendben leszünk ;-).
Persze az Apple soha nem fizet semmiért. Hagyd abba a tanács védelmét minden áron. Már az is kínos. Csak megosztották
Éppen ma kaptam egy e-mailt a "checkauth@apple.com" címről. Pontosan úgy néz ki, mint az Apple, és azt írja, hogy egy olyan alkalmazást töltöttek le a fiókomról, amelyet nem is használok. Amikor elmentem megváltoztatni a jelszavamat, egy olyan oldalra irányított át, amely csak úgy néz ki, mint az Apple.com, de az URL-cím egyértelműen más.