Michal Ždanský Na etlike dae van Apple se interne ondersoek het die maatskappy 'n verklaring uitgereik t.o.v inbraak iCloud-rekeninge van sommige bekendes, wie se delikate foto's aan die publiek uitgelek het. Volgens Apple is die foto's nie uitgelek deur iCloud- en Find My iPhone-dienste te hack nie, aangesien die manier waarop die kuberkrakers die foto's bekom het, die Kaliforniese maatskappy se ingenieurs 'n geteikende aanval op gebruikersname, wagwoorde en sekuriteitsvrae bepaal het. Hulle het egter nie kommentaar gelewer oor hoe die iCloud-foto's bekom is nie.
Volgens Wired is die wagwoorde gekraak met behulp van forensiese sagteware wat deur staatsagentskappe gebruik is. Op die Bulletin Board Anon-IB, waar verskeie bekende foto's verskyn het, het sommige lede openlik bespreek die gebruik van die sagteware namens ElcomSoft Phone Wagwoord Breker. Dit laat jou toe om die verkrygde gebruikersname en wagwoorde in te voer om die hele rugsteunlêers van die iPhone en iPad af te haal. Volgens 'n sekuriteitskenner met wie Wired onderhoude gevoer het, stem die metadata van die foto's ooreen met die gebruik van die genoemde sagteware.
Kuberkrakers moes net gebruikersname (Apple ID) en wagwoorde bekom, wat hulle waarskynlik bereik het danksy die voorheen genoemde metode met behulp van die program iBrute saam met die Find My iPhone-kwesbaarheid, wat aanvallers toegelaat het om die wagwoord te raai sonder 'n beperking op die aantal pogings. Apple het die kwesbaarheid reggemaak kort nadat dit ontdek is. Die feit dat die slagoffers van die kuberaanval nie tweestap-verifikasie gebruik het nie, wat vereis dat ’n kode wat na die foon gestuur is ingevoer moet word, het ook ’n groot rol gespeel. Daar moet kennis geneem word dat tweestap-verifikasie nie van toepassing is op iCloud-rugsteun- en Photo Stream-dienste nie, maar dit sal dit in die eerste plek baie moeiliker maak om gebruikersnaamwagwoorde te bekom.
Selfs met tweestap-verifikasie word iCloud egter nie ideaal beskerm nie. Soos ontdek deur Michael Rose van die bediener TUAW, wanneer Fotostroom, Safari-rugsteun en e-posboodskappe na 'n nuwe Apple-rekenaar gesinkroniseer word, is daar geen waarskuwing aan die gebruiker dat data vanaf die nuwe rekenaar verkry is nie. Slegs met die kennis van die Apple ID en wagwoord was dit moontlik om die genoemde inhoud af te laai sonder die gebruiker se medewete. Soos u kan sien, het Apple se wolkdienste steeds 'n paar krake, selfs al word die gebruiker deur tweestap-verifikasie beskerm, wat terloops steeds nie in byvoorbeeld die Tsjeggiese Republiek of Slowakye beskikbaar is nie. Na alles, het Apple se aandele ná dié affêre met vier persent gedaal.
Jy sal nie glo hoe 'n paar bekendes met 'n demente eenvoudige wagwoord en pornografiese foto's op hul foon die aandele van so 'n groot maatskappy kan skuif nie :)
Hulle het 'n integrale deel in die feit dat die gebruikers hul data en heelwat privaatheid verloor het, so in hierdie geval is dit heeltemal normaal dat die aandele daal. Dit leer darem om aandag te gee aan sekuriteit en ons gebruikers sal ten minste in orde wees ;-).
Wagwoorde is dus gekraak met behulp van die iBrute-program, wat 'n proef-/foutmetode gebruik om alle gereeld gebruikte wagwoorde volgens een of ander woordeboek te probeer. Die swakheid was dat die slagoffers 'n woordeboek of swak wagwoord gehad het en Apple het nie hierdie metode (bv. deur die aantal mislukte pogings per minuut te beperk) in Find My Phone (nou reggestel) geblokkeer nie. Sodra hulle die wagwoorde gehad het, kon hulle doen wat hulle wou. Maar om nie inligting oor die registrasie van 'n ander toestel met dieselfde Apple ID bekend te maak nie, het hulle 'n volledige rugsteun van die iPhone van iCloud afgelaai met behulp van die EPPB-program en foto's uit die rugsteun onttrek deur daardie program te gebruik. Gevolgtrekking - 'n goeie wagwoord is eenvoudig 'n moet.
Ek sal nie verbaas wees as dit ook 'n betaalde skuif was nie. gooi soveel vuil as moontlik op die Apple-reus 'n paar dae voor die bekendstelling van supernuwe dinge. Dit is ook een van die moontlike scenario's van hoe dit kon gewees het. Vir 'n persoon om vandag opgewonde te raak oor aandele, hoef jy net te besef hoe sensitief dit is. Maar die een wat die beste is, sal altyd 'n draai gegooi word, dit sal nie verander nie.
Hulle het 'n integrale deel in die feit dat die gebruikers hul data en heelwat privaatheid verloor het, so in hierdie geval is dit heeltemal normaal dat die aandele daal. Dit leer darem om aandag te gee aan sekuriteit en ons gebruikers sal ten minste in orde wees ;-).
Sekerlik, Apple betaal nooit vir enigiets nie. Hou op om die raad ten alle koste te verdedig. Dit is reeds 'n verleentheid. Hulle het dit net gedeel
Net vandag het ek 'n e-pos van "checkauth@apple.com" ontvang. Dit lyk presies soos Apple, en dit sê dat 'n toepassing wat ek nie eens gebruik nie van my rekening afgelaai is. Toe ek my wagwoord gaan verander, het dit my herlei na 'n bladsy wat net soos Apple.com lyk, maar die URL-adres is duidelik anders.