Michał Żdanski Po kilku dniach wewnętrznego śledztwa Apple’a firma wydała oświadczenie ws włamywanie się na konta iCloud niektórych celebrytów, którego delikatne zdjęcia wyciekły do opinii publicznej. Według Apple zdjęcia nie wyciekły w wyniku włamania się do usług iCloud i Find My iPhone, ponieważ sposób, w jaki hakerzy uzyskali zdjęcia, oznaczał, że inżynierowie kalifornijskiej firmy ustalili, że był to ukierunkowany atak na nazwy użytkowników, hasła i pytania zabezpieczające. Nie skomentowali jednak sposobu pozyskania zdjęć z iCloud.
Według Wired hasła zostały złamane przy użyciu oprogramowania kryminalistycznego wykorzystywanego przez agencje rządowe. Na tablicy ogłoszeń Anon-IB, na którym pojawiło się kilka zdjęć gwiazd, niektórzy członkowie otwarcie dyskutowali w imieniu firmy o korzystaniu z oprogramowania Łamacz haseł telefonicznych ElcomSoft. Dzięki temu możesz wprowadzić uzyskane nazwy użytkownika i hasła, aby odzyskać całe pliki kopii zapasowej z iPhone'a i iPada. Według eksperta ds. bezpieczeństwa, z którym rozmawiał Wired, metadane ze zdjęć odpowiadają sposobowi użycia wspomnianego oprogramowania.
Hakerzy musieli jedynie zdobyć nazwy użytkowników (Apple ID) i hasła, co prawdopodobnie osiągnęli dzięki wspomnianej wcześniej metodzie za pomocą programu iBrute wraz z luką w Find My iPhone, która umożliwiała atakującym odgadnięcie hasła bez ograniczenia liczby prób. Apple załatało lukę wkrótce po jej wykryciu. Dużą rolę odegrał także fakt, że ofiary ataku hakerskiego nie korzystały z weryfikacji dwuetapowej, która wymaga wprowadzenia kodu przesłanego na telefon. Należy zaznaczyć, że weryfikacja dwuetapowa nie dotyczy usług tworzenia kopii zapasowych iCloud i Photo Stream, jednak w pierwszej kolejności znacznie utrudniłaby uzyskanie hasła do nazwy użytkownika.
Jednak nawet przy weryfikacji dwuetapowej iCloud nie jest idealnie chroniony. Jak odkrył Michael Rose z serwera TUAWpodczas synchronizowania Strumienia zdjęć, kopii zapasowej Safari i wiadomości e-mail z nowym komputerem Apple użytkownik nie otrzymuje ostrzeżenia, że uzyskano dostęp do danych z nowego komputera. Dopiero znajomość Apple ID i hasła umożliwiła pobranie wspomnianych treści bez wiedzy użytkownika. Jak widać, usługi chmurowe Apple'a wciąż mają pewne pęknięcia, nawet jeśli użytkownik jest chroniony dwuetapową weryfikacją, która, notabene, nadal nie jest dostępna na przykład w Czechach czy na Słowacji. Przecież po tej aferze akcje Apple spadły o cztery procent.
Nie uwierzyłbyś, jak para gwiazd z szaleńczo prostym hasłem i pornograficznymi zdjęciami w telefonie może przenieść akcje tak dużej firmy :)
Odgrywają one integralną rolę w tym, że użytkownicy stracili swoje dane i sporo prywatności, więc w tym przypadku spadek akcji jest całkowicie normalny. Przynajmniej uczy się zwracać uwagę na bezpieczeństwo, a my, użytkownicy, przynajmniej będziemy się wydawać, że wszystko jest w porządku ;-).
Zatem hasła zostały złamane przy użyciu programu iBrute, który według jakiegoś słownika wypróbowuje wszystkie często używane hasła metodą prób/błędów. Słabością był fakt, że ofiary posiadały słownik lub słabe hasło, a Apple nie blokował tej metody (np. ograniczając liczbę nieudanych prób na minutę) w Find My Phone (teraz naprawione). Kiedy już zdobyli hasła, mogli robić, co chcieli. Aby jednak nie ujawniać informacji o rejestracji innego urządzenia z tym samym Apple ID, pobrali pełną kopię zapasową iPhone'a z iCloud za pomocą programu EPPB i wyodrębnili zdjęcia z kopii zapasowej za pomocą tego programu. Wniosek – dobre hasło to po prostu konieczność.
Nie zdziwiłbym się, gdyby było to również płatne posunięcie. rzucając jak najwięcej brudu na giganta Apple na kilka dni przed wprowadzeniem super nowości. Jest to także jeden z możliwych scenariuszy tego, jak mogłoby to wyglądać. Aby dzisiaj ktoś był podekscytowany akcjami, wystarczy zdać sobie sprawę, jak bardzo są one wrażliwe. Ale ten, kto jest najlepszy, zawsze będzie miał kłopoty i to się nie zmieni.
Odgrywają one integralną rolę w tym, że użytkownicy stracili swoje dane i sporo prywatności, więc w tym przypadku spadek akcji jest całkowicie normalny. Przynajmniej uczy się zwracać uwagę na bezpieczeństwo, a my, użytkownicy, przynajmniej będziemy się wydawać, że wszystko jest w porządku ;-).
Jasne, Apple nigdy za nic nie płaci. Przestańcie bronić Rady za wszelką cenę. To już jest żenujące. Po prostu się tym podzielili
Właśnie dzisiaj otrzymałem e-mail z adresu „checkauth@apple.com”. Wygląda dokładnie jak Apple i mówi, że z mojego konta została pobrana aplikacja, której nawet nie używam. Kiedy chciałem zmienić hasło, przekierowano mnie na stronę, która wygląda jak Apple.com, ale adres URL jest wyraźnie inny.