Apple попереджала про грубу силу вразливості iCloud за 6 місяців до Celebgate

Apple попереджала про грубу силу вразливості iCloud за 6 місяців до Celebgate

Вже в березні 2014 року Apple знала про діру в безпеці, через яку особисті дані користувачів iCloud ставали вразливими, повідомляється в повідомленнях про електронну пошту між компанією та відомим дослідником безпеки.



Показано, що електронні листи, отримані Daily Dot на початку цього місяця та розглянуті багатьма експертами з безпеки Ібрагім Баліч | , лондонський розробник програмного забезпечення, повідомляючи Apple про метод, який він виявив для проникнення в облікові записи iCloud.

Міцність безпеки Apple піддалася критиці на початку цього місяця після того, як сотні оголених фотографій знаменитостей, які нібито були вкрадені з серверів iCloud, заполонили Інтернет. Хоча експлойт Баліч каже, що він повідомив акціям Apple, що він надзвичайно схожий на експлойт, який нібито використовувався у так званій хакерській програмі 'Celebgate', наразі незрозуміло, чи є вони однаковою вразливістю.



У електронному листі від 26 березня Балік повідомляє представнику Apple, що він успішно обійшов функцію безпеки, призначену для запобігання & ldquo; грубої сили & rdquo; атаки - метод, який використовують хакери для злому паролів шляхом вичерпного випробування тисяч комбінацій клавіш. Як правило, такий вид атаки перемагається обмеженням кількості спроб користувачів увійти в систему.

Балік продовжує пояснювати Apple, що він зміг спробувати понад 20 000 комбінацій паролів для будь-якого облікового запису. & ldquo; Я хотів би повідомити вас про виправлення, & rdquo; він написав. ( Примітка редактора: Електронні листи Баліка написані англійською мовою, яка не є його рідною мовою. )

Порушення Apple iCloud 4

Натисніть, щоб збільшити



Також про вразливість повідомляв Балік, використовуючи платформу для подання електронних помилок від Apple & rsquo; як показано на наступному скріншоті:

Порушення Apple iCloud 3



Натисніть, щоб збільшити

В електронному листі від 6 травня 2014 року вразливість, очевидно, залишається невиправленою, оскільки представник Apple продовжує допитувати Баліка щодо деталей свого відкриття.

& ldquo; Я вважаю, що проблема не була повністю вирішена. Вони постійно просили мене показати їм більше речей, & rdquo; Балик розповів Daily Dot.

Порушення Apple iCloud 2



Натисніть, щоб збільшити

Спочатку в зламі Celebgate звинувачували діру в безпеці в хмарній службі зберігання даних Apple. Як повідомляється, на веб-сайт було завантажено зловмисний сценарій GitHub наприкінці минулого місяця, згідно Наступна павутина, які, можливо, використовували хакери для компрометації облікових записів iCloud:

& ldquo; Вразливість, яку нібито виявили в Знайди мій iPhone Схоже, служба дозволила зловмисникам використовувати цей метод для повторного вгадування паролів без будь-якого блокування або попередження цілі. Після того, як пароль врешті буде збіг, зловмисник зможе використовувати його для вільного доступу до інших функцій iCloud. & Rdquo;

Незабаром після того, як фотографії Celebgate вибухнули в Інтернеті, Apple, як повідомляється, виправила вразливість, виявлену в дописі GitHub. Однак компанія заперечила, що вона якось пов'язана з подією Celebgate. Викрадення фотографій, а заява від компанії наполягав, не було результатом & ldquo; будь-якого порушення будь-якої системи Apple & rsquo;, включаючи iCloud або Find my iPhone. & rdquo;

Apple також розширила використання двоетапної перевірки для подальшого захисту облікових записів iCloud. Користувачі повинні увійти, щоб застосувати додатковий захист, який вимагає від них введення чотиризначного коду, надісланого текстовим повідомленням кожного разу, коли вони входять в систему.

Викрадені фотографії знаменитостей, імовірно отримані ще до того, як Apple зміцнила свою безпеку, продовжувати відображатися в Інтернеті . У суботу нібито оголені фотографії Дженніфер Лоуренс, Кім Кардашьян та інших були розміщені на веб-сайті 4chan. За даними нещодавнього, ФБР все ще розслідує хакерство заява від правоохоронного органу.

Груба сила атаки iCloud Баліка не є його першим звітом про вразливість для Apple. У червні 2013 року він виявив недолік безпеки в Центрі розробників Apple. За словами Баліча, веб-сайт майже негайно було видалено, але він каже, що його звіт не отримав відповіді від компанії. В прес-реліз випущений через кілька днів, Apple описав & ldquo; загрозу безпеці & rdquo; і стверджував, що & ldquo; зловмисник намагався захистити особисту інформацію [зареєстрованих розробників.] & rdquo;

Незадоволений тим, як Apple опрацювала його звіт, і стурбований тим, що правоохоронні органи розслідують їхні звинувачення, Баліч вийшов у відкритий доступ у формі коментар на статті TechCrunch. Пізніше він завантажив YouTube відео , який, за його словами, містить докази свого відкриття.

Пізніше Apple визнала Balic за повідомлення про вразливість міжсайтових сценаріїв (XSS) Сторінка сповіщень веб-сервера .

Повідомлення про порушення Apple iCloud


Раніше цього місяця генеральний директор Apple Тім Кук заявив, що його компанія мала б зробити більше, щоб попередити своїх клієнтів про проблеми безпеки.

& ldquo; Коли я відступаю від цього жахливого сценарію, що трапився, і кажу, що ще ми могли зробити, я замислююся над інформаційною частиною, & rdquo; він сказав Wall Street Journal . & ldquo; Я думаю, що ми несемо відповідальність за це. Це & rsquo; насправді не інженерна річ. & Rdquo;

Балич погодився. & ldquo; Якби Apple поставилася до цього питання більш серйозно, можливо, така проблема не виникала б, & rdquo; він сказав.

Apple не відповіла на кілька запитів про коментарі.

Ілюстрація Джейсон Рід