Michal Ždanský Po kelias dienas trukusio „Apple“ vidinio tyrimo bendrovė paskelbė pareiškimą dėl įsilaužti į kai kurių įžymybių „iCloud“ paskyras, kurio subtilios nuotraukos nutekėjo į viešumą. „Apple“ teigimu, nuotraukos nutekėjo ne įsilaužus „iCloud“ ir „Find My iPhone“ paslaugoms, nes tai, kaip įsilaužėliai gavo nuotraukas, Kalifornijos bendrovės inžinieriai nustatė tikslinę ataką prieš vartotojų vardus, slaptažodžius ir saugumo klausimus. Tačiau jie nekomentavo, kaip buvo gautos „iCloud“ nuotraukos.
„Wired“ teigimu, slaptažodžiai buvo nulaužti naudojant kriminalistinę programinę įrangą, kurią naudoja vyriausybinės agentūros. Skelbimų lentoje Anon-IB, kur pasirodė kelios įžymybių nuotraukos, kai kurie nariai atvirai diskutavo apie programinės įrangos naudojimą ElcomSoft telefono slaptažodžių laužiklis. Tai leidžia įvesti gautus naudotojų vardus ir slaptažodžius, kad iš „iPhone“ ir „iPad“ būtų nuskaityti visi atsarginės kopijos failai. „Wired“ kalbinto saugumo eksperto teigimu, metaduomenys iš nuotraukų atitinka minėtos programinės įrangos naudojimą.
Įsilaužėliai turėjo gauti tik vartotojo vardus (Apple ID) ir slaptažodžius, kuriuos jie pasiekė tikriausiai dėl anksčiau minėto metodo naudojant programą „iBrute“ kartu su pažeidžiamumu „Find My iPhone“, leidžiančiu užpuolikams atspėti slaptažodį neribojant bandymų skaičiaus. „Apple“ pataisė pažeidžiamumą netrukus po to, kai jis buvo aptiktas. Didelį vaidmenį suvaidino ir tai, kad įsilaužėlių atakos aukos nesinaudojo patvirtinimu dviem veiksmais, kai reikia įvesti į telefoną atsiųstą kodą. Pažymėtina, kad patvirtinimas dviem veiksmais netaikomas „iCloud“ atsarginių kopijų kūrimo ir „Photo Stream“ paslaugoms, tačiau jos iš pradžių gerokai apsunkintų vartotojo vardų slaptažodžių gavimą.
Tačiau net ir patvirtinus dviem veiksmais „iCloud“ nėra idealiai apsaugotas. Kaip atrado serverio Michaelas Rose'as TUAW, sinchronizuojant Photo Stream, Safari atsarginę kopiją ir el. pašto pranešimus su nauju Apple kompiuteriu, vartotojas neįspėjamas, kad duomenys buvo pasiekti iš naujojo kompiuterio. Tik žinant Apple ID ir slaptažodį buvo galima atsisiųsti minėtą turinį be vartotojo žinios. Kaip matote, Apple debesų paslaugos vis dar turi tam tikrų įtrūkimų, net jei vartotojas yra apsaugotas patvirtinimu dviem veiksmais, kurio, beje, vis dar nėra, pavyzdžiui, Čekijoje ar Slovakijoje. Juk po šios aferos „Apple“ akcijos atpigo keturiais procentais.
Nepatikėsite, kaip pora įžymybių, kurių telefone yra beprotiškai paprastas slaptažodis ir pornografinės nuotraukos, gali perkelti tokios didelės įmonės akcijas :)
Jie turi neatskiriamą dalį to, kad vartotojai prarado duomenis ir nemažai privatumo, todėl šiuo atveju visiškai gerai, kad akcijos nukris. Bent jau išmoksta atkreipti dėmesį į saugumą ir mums, vartotojams, bent jau atrodys gerai ;-).
Taigi, slaptažodžiai buvo nulaužti naudojant iBrute programą, kuri naudoja bandymo/klaidos metodą, kad išbandytų visus dažnai naudojamus slaptažodžius pagal tam tikrą žodyną. Trūkumas buvo tas, kad aukos turėjo žodyną arba silpną slaptažodį, o „Apple“ neblokavo šio metodo (pvz., ribodama nesėkmingų bandymų skaičių per minutę) programoje „Find My Phone“ (dabar ištaisyta). Kai jie turėjo slaptažodžius, jie galėjo daryti ką nori. Bet kad nebūtų atskleista informacija apie kito įrenginio su tuo pačiu Apple ID registraciją, jie atsisiuntė pilną iPhone atsarginę kopiją iš iCloud naudodami EPPB programą ir iš atsarginės kopijos ištraukė nuotraukas naudodamiesi ta programa. Išvada – geras slaptažodis tiesiog būtinas.
Nenustebčiau, jei tai būtų ir mokamas žingsnis. likus kelioms dienoms iki supernaujų dalykų įvedimo ant „Apple“ milžino užmetus kuo daugiau purvo. Tai taip pat vienas iš galimų scenarijų, kaip tai galėjo būti. Kad žmogus šiandien susižavėtų akcijomis, tereikia suvokti, koks tai jautrus dalykas. Bet tas, kuris yra geriausias, visada bus išmestas, tai nepasikeis.
Jie turi neatskiriamą dalį to, kad vartotojai prarado duomenis ir nemažai privatumo, todėl šiuo atveju visiškai gerai, kad akcijos nukris. Bent jau išmoksta atkreipti dėmesį į saugumą ir mums, vartotojams, bent jau atrodys gerai ;-).
Žinoma, „Apple“ niekada už nieką nemoka. Nustokite bet kokia kaina ginti tarybą. Jau dabar gėda. Jie tiesiog pasidalino
Kaip tik šiandien gavau el. laišką iš „checkauth@apple.com“. Atrodo lygiai taip pat kaip „Apple“ ir sako, kad iš mano paskyros atsisiųsta programa, kurios aš net nenaudoju. Kai nuėjau pakeisti slaptažodį, jis nukreipė mane į puslapį, kuris atrodo kaip Apple.com, tačiau URL adresas aiškiai skiriasi.