Apple varaði við varnarleysi iCloud í brute force 6 mánuðum fyrir Celebgate

Apple varaði við varnarleysi iCloud í brute force 6 mánuðum fyrir Celebgate

Apple vissi strax í mars 2014 af öryggisholu sem skildi persónuupplýsingar iCloud notenda eftir viðkvæmar, samkvæmt tölvupósti sem lekið var á milli fyrirtækisins og þekktrar öryggisrannsakanda.

Tölvupósturinn, sem Daily Dot fékk fyrr í þessum mánuði og skoðaður af mörgum öryggissérfræðingum, sýnir Ibrahim Balic | hugbúnaðarframleiðandi í London og upplýsti Apple um aðferð sem hann uppgötvaði til að síast inn í iCloud reikninga.

Styrkur öryggis Apple varð gagnrýni fyrr í þessum mánuði eftir að hundruð nektarmynda fræga fólksins, sem sagt er stolið af netþjónum iCloud, flæddi yfir internetið. Þó að nýtingin, Balic, segist hafa tilkynnt Apple deilir hann áþreifanlega líkingu við þá nýtingu sem sögð eru notuð í svokölluðu „Celebgate“ reiðhesti, þá er eins og er óljóst hvort þeir eru sömu veikleikarnir.

Í tölvupósti 26. mars sagði Balic embættismanni Apple að hann hafi farið framhjá öryggisaðgerð sem ætlað er að koma í veg fyrir & quot; brute-force & rdquo; árásir - aðferð sem tölvuþrjótar nota til að brjóta lykilorð með því að reyna tæmandi á þúsundir lyklasamsetninga. Venjulega er árás af þessu tagi sigruð með því að takmarka fjölda sinnum sem notendur geta reynt að skrá sig inn.

Balic heldur áfram að útskýra fyrir Apple að hann hafi getað prófað yfir 20.000 lykilorðasamsetningar á hvaða reikningi sem er. & ldquo; Mig langar að upplýsa þig um að það sé lagað, & rdquo; hann skrifaði. ( Athugasemd ritstjóra: Tölvupóstur Balic var skrifaður á ensku, sem er ekki fyrsta tungumál hans. )

Apple iCloud brot 4

Smelltu til að stækka

Einnig var tilkynnt um varnarleysið af Balic með því að nota Apple & rsquo; s tölvupóstsendingarvettvang, eins og sést á eftirfarandi skjámynd:

Brot Apple iCloud 3

Smelltu til að stækka

Í tölvupósti dagsettu 6. maí 2014 er tilkynnt varnarleysi augljóslega óákveðið þar sem embættismaður Apple heldur áfram að spyrja Balic út í smáatriðin um uppgötvun sína.

& ldquo; Ég tel að málið hafi ekki verið að fullu leyst. Þeir báðu mig sífellt að sýna þeim meira dót, & rdquo; Balic sagði við Daily Dot.

Apple iCloud brot 2

Smelltu til að stækka

Öryggisgat í skýjageymsluþjónustu Apple var upphaflega kennt um Celebgate reiðhestinn. Skaðlegt handrit var sem sagt sett inn á vefsíðuna GitHub seint í síðasta mánuði, skv Næsti vefur, sem tölvuþrjótar kunna að hafa notað til að skerða iCloud reikninga:

& ldquo; Varnarleysið sem sagt er uppgötvað í Finndu iPhone minn þjónusta virðist hafa látið árásarmenn nota þessa aðferð til að giska á lykilorð ítrekað án nokkurs konar læsingar eða viðvörunar við skotmarkið. Þegar lykilorðinu hefur verið passað að lokum getur árásarmaðurinn síðan notað það til að fá aðgang að öðrum iCloud aðgerðum frjálslega. & Rdquo;

Fljótlega eftir að Celebgate-myndirnar sprungu um netið, lagði Apple að sögn varnarleysið sem greint var frá í GitHub-færslunni. Fyrirtækið neitaði því hins vegar að það tengdist á einhvern hátt Celebgate atburðinum. Þjófnaður ljósmyndanna, a yfirlýsing frá fyrirtækinu krafðist þess, var ekki afleiðing af & # 39; broti í einhverju Apple kerfi, þar með talið iCloud eða Finndu iPhone minn. & rdquo;

Apple stækkaði einnig notkun tveggja þrepa staðfestingar til að vernda iCloud reikninga enn frekar. Notendur verða að taka þátt til að beita viðbótarörygginu, sem krefst þess að þeir slái inn fjögurra stafa kóða sem sendur er með textaskilaboðum í hvert skipti sem þeir skrá sig inn.

Stolnum stjörnumyndum, líklega fengnar áður en Apple styrkti öryggi sitt, halda áfram að birtast á netinu . Á laugardag voru meinta nektarmyndir af Jennifer Lawrence, Kim Kardashian og fleirum birtar á vefsíðunni 4chan. Alríkislögreglan rannsakar enn hakkið samkvæmt nýlegri frétt yfirlýsing frá lögregluembættinu.

Brut-force iCloud árás Balic er ekki fyrsta skýrslan um varnarleysi hans til Apple. Í júní 2013 greindi hann frá öryggisgalla í Apple Developer Center. Samkvæmt Balic var vefsíðan nánast tekin niður en hann segir að skýrsla sín hafi ekki fengið nein viðbrögð frá fyrirtækinu. Í fréttatilkynning gefin út nokkrum dögum síðar, lýsti Apple & ldquo; öryggisógn & rdquo; og fullyrti að & ldquo; boðflenna reyndi að tryggja persónulegar upplýsingar [skráðra verktaka.] & rdquo;

Balic var óánægður með hvernig Apple fór með skýrslu sína og hafði áhyggjur af því að löggæslan væri að rannsaka ásakanir þeirra. athugasemd á TechCrunch grein. Hann hlóð síðar upp YouTube myndband , sem hann segir innihalda sönnun fyrir uppgötvun sinni.

Apple viðurkenndi síðar Balic fyrir að tilkynna um varnarleysi yfir vefsetur (XSS) Tilkynningarsíða vefþjóns .

Apple iCloud brot á tölvupósti


Fyrr í þessum mánuði sagði Tim Cook, forstjóri Apple, að fyrirtæki sitt hefði átt að gera meira til að gera viðskiptavinum sínum viðvart um öryggismál.

& ldquo; Þegar ég stíga til baka frá þessari hræðilegu atburðarás sem gerðist og segi hvað meira hefðum við getað gert, hugsa ég um vitundarverkið, & rdquo; hann sagði Wall Street Journal . & ldquo; Ég held að við berum ábyrgð á því að gera það upp. Það er í raun ekki verkfræðilegur hlutur. & Rdquo;

Balic samþykkti það. & ldquo; Ef Apple hefði tekið þetta mál af meiri alvöru, þá hefði kannski ekki komið upp svona vandamál, & rdquo; sagði hann.

Apple svaraði ekki mörgum beiðnum um athugasemdir.

Myndskreyting eftir Jason Reed