Michal Ždanský Efter flera dagar av Apples interna utredning gick företaget med ett uttalande ang hacka vissa kändisars iCloud-konton, vars känsliga bilder läckte ut till allmänheten. Enligt Apple läckte inte bilderna ut genom att hacka iCloud och Find My iPhone-tjänsterna, eftersom hackarnas sätt att få tag på bilderna, fastställde det kaliforniska företagets ingenjörer en riktad attack mot användarnamn, lösenord och säkerhetsfrågor. De kommenterade dock inte hur iCloud-bilderna erhölls.
Enligt Wired knäcktes lösenorden med hjälp av kriminalteknisk programvara som används av statliga myndigheter. På anslagstavlan Anon-IB, där flera kändisfoton dök upp, diskuterade några medlemmar öppet att använda programvaran på uppdrag av ElcomSoft Phone Password Breaker. Detta låter dig ange de erhållna användarnamnen och lösenorden för att hämta hela säkerhetskopian från iPhone och iPad. Enligt en säkerhetsexpert som har intervjuats av Wired matchar metadata från fotona användningen av nämnda programvara.
Hackarna behövde bara skaffa användarnamn (Apple ID) och lösenord, vilket de troligen uppnådde tack vare den tidigare nämnda metoden med hjälp av programmet iBrute tillsammans med sårbarheten Hitta min iPhone, som gjorde det möjligt för angripare att gissa lösenordet utan begränsning av antalet försök. Apple korrigerade sårbarheten strax efter att den upptäcktes. Det faktum att offren för hackerattacken inte använde tvåstegsverifiering, vilket kräver inmatning av en kod som skickats till telefonen, spelade också stor roll. Det bör noteras att tvåstegsverifiering inte gäller iCloud-säkerhetskopiering och Photo Stream-tjänster, men de skulle göra det mycket svårare att få användarnamnlösenord i första hand.
Men även med tvåstegsverifiering är iCloud inte idealiskt skyddat. Som upptäcktes av Michael Rose på servern TUAW, när du synkroniserar Photo Stream, Safari backup och e-postmeddelanden till en ny Apple-dator, finns det ingen varning till användaren om att data har nåtts från den nya datorn. Endast med kännedom om Apple-ID och lösenord var det möjligt att ladda ner det nämnda innehållet utan användarens vetskap. Som ni ser har Apples molntjänster fortfarande några sprickor, även om användaren skyddas av tvåstegsverifiering, som för övrigt fortfarande inte är tillgänglig i till exempel Tjeckien eller Slovakien. Efter den här affären föll trots allt Apples aktier med fyra procent.
Du skulle inte tro hur ett par kändisar med ett dement enkelt lösenord och porrbilder på sin telefon kan flytta aktierna i ett så stort företag :)
De har en integrerad del i att användare tappat data och en hel del integritet, så i det här fallet är det helt okej att andelarna faller. Det lär sig åtminstone att uppmärksamma säkerheten och vi användare kommer åtminstone att verka bra ;-).
Så, lösenord knäcktes med hjälp av programmet iBrute, som använder en trial/error-metod för att prova alla ofta använda lösenord enligt någon ordbok. Svagheten var att offren hade en ordbok eller ett svagt lösenord och Apple blockerade inte denna metod (t.ex. genom att begränsa antalet misslyckade försök per minut) i Find My Phone (nu fixat). När de väl hade lösenorden kunde de göra vad de ville. Men för att inte avslöja information om registreringen av en annan enhet med samma Apple-ID laddade de ner en fullständig säkerhetskopia av iPhone från iCloud med hjälp av programmet EPPB och extraherade bilder från säkerhetskopian med det programmet. Slutsats – ett bra lösenord är helt enkelt ett måste.
Jag skulle inte bli förvånad om det också var en betald flytt. kasta så mycket smuts som möjligt på Apple-jätten några dagar innan introduktionen av supernya saker. Det är också ett av de möjliga scenarierna för hur det kunde ha varit. För att en person ska bli upphetsad över aktier idag behöver du bara inse hur känsligt det är. Men den som är bäst kommer alltid att kastas en snurr, det kommer inte att förändras.
De har en integrerad del i att användare tappat data och en hel del integritet, så i det här fallet är det helt okej att andelarna faller. Det lär sig åtminstone att uppmärksamma säkerheten och vi användare kommer åtminstone att verka bra ;-).
Visst, Apple betalar aldrig för någonting. Sluta försvara rådet till varje pris. Det är redan pinsamt. De bara delade det
Just idag fick jag ett mejl från "checkauth@apple.com". Det ser precis ut som Apple, och det står att en applikation som jag inte ens använder har laddats ner från mitt konto. När jag gick för att ändra mitt lösenord omdirigerade det mig till en sida som bara ser ut som Apple.com, men URL-adressen är helt klart annorlunda.