Luka w Find My iPhone możliwą przyczyną kradzieży zdjęć celebrytek. To wizerunkowe potknięcie Apple
Poważne sprawy związane m.in. z konfliktem na Ukrainie czy działaniami fundamentalistów islamskich w Iraku i Syrii zostały dzisiaj na moment przyćmione przez doniesienia o kradzieży prawdopodobnie z kont w iCloud popularnych aktorek i modelek ich prywatnych, często pornograficznych zdjęć. Włamanie na ich konta w chmurze Apple możliwe być miało dzięki luce w usłudze Find My iPhone podatnej na metodę brute force.
Brute force to metoda prób i błędów, a więc podawania różnych, nieraz setek tysięcy czy milionów kombinacji znaków celem trafienie we właściwe hasło. Kod programu, który posłużył do tego włamania, pojawił się w serwisie Github. Okazuje się, że Find My iPhone nie posiadało żadnych zabezpieczeń, które wykrywałyby atak z użyciem tej metody i które blokowałyby dostęp do zaatakowanego konta. Po zdobyciu hasła do Find My iPhone złodziej mógł za jego pomocą zalogować się do innych serwisów w ramach usługi iCloud. Apple załatało tę lukę dopiero dzisiaj kilka godzin temu.
Atak mógł także następować niejako w sposób reakcji łańcuchowej. Włamywacz po uzyskaniu dostępu do konta iCloud jednej aktorki, mógł sprawdzić jej skrzynkę kontaktową, w której mogły znaleźć się adresy e-mail w poczcie iCloud kolejnych ofiar.
Warto wspomnieć, że załatana już luka nie dawała dostępu do haseł innych użytkowników, pozwalała jedynie na znalezienie wspomnianą już metodą hasła do wybranego przez złodzieja konta.
Apple nie skomentowało jeszcze całej sprawy. Mleko już się jednak rozlało - kolejny raz jakość oferowanych przez Apple usług sieciowych okazała się niezbyt wysoka (przed laty złą opinią cieszyła się usługa sieciowa MobileMe, co wprawiało Steve'a Jobsa w furię). Ofiarami nie są zwykli użytkownicy, którzy nie leżą w obszarze zainteresowań mainstreamowych mediów, a dobrze znane celebrytki. Z pewnością nie skończy się tylko na przeprosinach. Gorzej, że tego typu duża wizerunkowa wpadka wydarzyła się na kilka dni przed premierą nowych urządzeń. Czas pokaże, czy Apple uda się sprawić, by klienci tej firmy o tym zapomnieli.
Źródło: _ The Next Web_
No to już jest kompletna porażka. Jak firma które posiada obecnie wiele milionów użytkowników iPhone i zapewne 80 % tych userow korzysta z usługi FMI, mogła sie dopuścić tak karygodnego błędu w zabezpieczeniach. Ja rozumiem ze ciagle powstają nowe sposoby łamania zabezpieczeń sieciowych, ale proszę was, Brute Force? Przecież to chyba jedna z najstarszych i najbardziej znanych sposobów "odgadnięcia" hasel. Ja rozumiem ze można mieć gdzieś błąd lub jakaś dziurę w zabezpieczeniach bo to sie zdarza (Patch Thursday, Microsoftu) ale pominięcie tak banalnej kwestii jak BF to jest niedopuszczalne. Powinni wywalić inżynierów odpowiedzialnych za takie nie dopatrzenie.