Michal Ždanský Etter flere dager med Apples interne etterforskning, ga selskapet en uttalelse vedr hacke iCloud-kontoer til noen kjendiser, hvis delikate bilder lekket til offentligheten. Ifølge Apple ble bildene ikke lekket ved å hacke iCloud og Find My iPhone-tjenestene, ettersom måten hackerne skaffet bildene på, bestemte California-selskapets ingeniører et målrettet angrep på brukernavn, passord og sikkerhetsspørsmål. De har imidlertid ikke kommentert hvordan iCloud-bildene ble skaffet.
Ifølge Wired ble passordene knekt ved hjelp av rettsmedisinsk programvare brukt av offentlige etater. På oppslagstavlen Anon-IB, hvor flere kjendisbilder dukket opp, diskuterte noen medlemmer åpent å bruke programvaren på vegne av ElcomSoft Phone Password Breaker. Dette lar deg skrive inn de oppnådde brukernavnene og passordene for å hente hele sikkerhetskopien fra iPhone og iPad. Ifølge en sikkerhetsekspert intervjuet av Wired, samsvarer metadataene fra bildene med bruken av nevnte programvare.
Hackerne måtte bare skaffe brukernavn (Apple ID) og passord, noe de sannsynligvis oppnådde takket være den tidligere nevnte metoden ved bruk av programmet iBrute sammen med Finn min iPhone-sårbarheten, som gjorde det mulig for angripere å gjette passordet uten en begrensning på antall forsøk. Apple korrigerte sårbarheten like etter at den ble oppdaget. At ofrene for hackerangrepet ikke brukte totrinnsverifisering, som krever å taste inn en kode sendt til telefonen, spilte også en stor rolle. Det skal bemerkes at totrinnsverifisering ikke gjelder iCloud-sikkerhetskopiering og Photo Stream-tjenester, men de vil gjøre det mye vanskeligere å få brukernavnpassord i utgangspunktet.
Selv med totrinnsverifisering er imidlertid ikke iCloud ideelt beskyttet. Som oppdaget av Michael Rose på serveren TUAW, når du synkroniserer Photo Stream, Safari-sikkerhetskopi og e-postmeldinger til en ny Apple-datamaskin, er det ingen advarsel til brukeren om at data har blitt åpnet fra den nye datamaskinen. Bare med kjennskap til Apple ID og passord var det mulig å laste ned det nevnte innholdet uten brukerens viten. Som du ser har Apples skytjenester fortsatt noen sprekker, selv om brukeren er beskyttet av totrinnsverifisering, som for øvrig fortsatt ikke er tilgjengelig i for eksempel Tsjekkia eller Slovakia. Etter denne affæren falt tross alt Apples aksjer med fire prosent.
Du ville ikke tro hvordan et par kjendiser med et dement enkelt passord og pornobilder på telefonen kan flytte aksjene til et så stort selskap :)
De har en integrert del i det faktum at brukere mistet data og ganske mye personvern, så i dette tilfellet er det helt greit at aksjene faller. Det er i hvert fall å lære å ta hensyn til sikkerheten og vi brukere vil i hvert fall se ut til å ha det bra ;-).
Så passordene ble knekt ved hjelp av iBrute-programmet, som bruker en prøve-/feilmetode for å prøve alle ofte brukte passord i henhold til en ordbok. Svakheten var at ofrene hadde en ordbok eller svakt passord og Apple blokkerte ikke denne metoden (f.eks. ved å begrense antall mislykkede forsøk per minutt) i Finn min telefon (nå fikset). Når de først hadde fått passordene, kunne de gjøre hva de ville. For ikke å avsløre informasjon om registreringen av en annen enhet med samme Apple-ID, lastet de imidlertid ned en fullstendig sikkerhetskopi av iPhone fra iCloud ved hjelp av EPPB-programmet og hentet ut bilder fra sikkerhetskopien ved hjelp av det programmet. Konklusjon – et godt passord er rett og slett et must.
Jeg ville ikke bli overrasket om det også var et betalt trekk. kaste så mye skitt som mulig på Apple-giganten noen dager før introduksjonen av supernye ting. Det er også et av de mulige scenariene for hvordan det kunne vært. For at en person skal bli begeistret for aksjer i dag, er alt du trenger å gjøre å innse hvor følsomt det er. Men den som er best vil alltid bli kastet et spinn, det vil ikke endre seg.
De har en integrert del i det faktum at brukere mistet data og ganske mye personvern, så i dette tilfellet er det helt greit at aksjene faller. Det er i hvert fall å lære å ta hensyn til sikkerheten og vi brukere vil i hvert fall se ut til å ha det bra ;-).
Jada, Apple betaler aldri for noe. Slutt å forsvare rådet for enhver pris. Det er allerede pinlig. De delte det bare
Akkurat i dag mottok jeg en e-post fra "checkauth@apple.com". Det ser akkurat ut som Apple, og det står at en applikasjon som jeg ikke en gang bruker har blitt lastet ned fra kontoen min. Da jeg gikk for å endre passordet mitt, omdirigerte det meg til en side som bare ser ut som Apple.com, men URL-adressen er tydelig annerledes.