Nakon nekoliko dana Appleove interne istrage, kompanija je izdala saopštenje u vezi hakovanje iCloud naloga nekih poznatih ličnosti, čije su delikatne fotografije procurile u javnost. Kako navodi Apple, fotografije nisu procurile hakiranjem servisa iCloud i Find My iPhone, jer su na način na koji su hakeri došli do fotografija, inženjeri kalifornijske kompanije utvrdili ciljani napad na korisnička imena, lozinke i sigurnosna pitanja. Međutim, nisu komentarisali kako su iCloud fotografije dobijene.
Prema Wiredu, lozinke su razbijene pomoću forenzičkog softvera koji koriste vladine agencije. Na oglasnoj tabli Anon-IB, gdje se pojavilo nekoliko fotografija slavnih, neki članovi su otvoreno raspravljali o korištenju softvera u ime ElcomSoft Phone Password Breaker. Ovo vam omogućava da unesete dobijena korisnička imena i lozinke kako biste dohvatili čitave datoteke sigurnosne kopije s iPhonea i iPada. Prema riječima stručnjaka za sigurnost kojeg je intervjuirao Wired, metapodaci sa fotografija odgovaraju korištenju navedenog softvera.
Hakeri su morali da pribave samo korisnička imena (Apple ID) i lozinke, što su i postigli verovatno zahvaljujući prethodno pomenutom metodu korišćenjem programa iBrute uz ranjivost Find My iPhone, koja je omogućila napadačima da pogode lozinku bez ograničenja u broju pokušaja. Apple je zakrpio ranjivost ubrzo nakon što je otkrivena. Veliku ulogu odigrala je i činjenica da žrtve hakerskog napada nisu koristile verifikaciju u dva koraka, koja zahtijeva unos koda poslanog na telefon. Treba napomenuti da se provjera u dva koraka ne odnosi na iCloud backup i Photo Stream usluge, međutim, one bi prije svega znatno otežale dobivanje lozinki za korisničko ime.
Međutim, čak i uz verifikaciju u dva koraka, iCloud nije idealno zaštićen. Kako je otkrio Michael Rose sa servera TUAW, prilikom sinhronizacije Photo Stream, Safari sigurnosne kopije i e-mail poruka na novi Apple računar, nema upozorenja za korisnika da je pristupljeno podacima sa novog računara. Samo uz znanje Apple ID-a i lozinke bilo je moguće preuzeti pomenuti sadržaj bez znanja korisnika. Kao što vidite, Appleovi cloud servisi i dalje imaju neke pukotine, čak i ako je korisnik zaštićen verifikacijom u dva koraka, koja, inače, još uvijek nije dostupna u, na primjer, Češkoj ili Slovačkoj. Uostalom, nakon ove afere Appleove dionice pale su za četiri posto.
Ne biste vjerovali kako par poznatih osoba sa ludo jednostavnom lozinkom i pornografskim fotografijama na svom telefonu može pomjeriti dionice tako velike kompanije :)
One imaju sastavni dio u činjenici da su korisnici izgubili podatke i prilično malo privatnosti, tako da je u ovom slučaju sasvim u redu da dionice padaju. Barem se uči paziti na sigurnost, a mi korisnici ćemo barem izgledati dobro ;-).
Dakle, lozinke su razbijene pomoću programa iBrute, koji koristi metodu pokušaja/greške da isproba sve često korištene lozinke prema nekom rječniku. Slabost je bila u tome što su žrtve imale rječnik ili slabu lozinku i Apple nije blokirao ovu metodu (npr. ograničavanjem broja neuspjelih pokušaja u minuti) u Find My Phone (sada popravljeno). Kada su imali lozinke, mogli su da rade šta su želeli. Međutim, kako ne bi otkrili informacije o registraciji drugog uređaja sa istim Apple ID-om, preuzeli su kompletnu sigurnosnu kopiju iPhone-a sa iCloud-a koristeći EPPB program i izvukli fotografije iz sigurnosne kopije pomoću tog programa. Zaključak - dobra lozinka je jednostavno neophodna.
Ne bih se iznenadio da je to bio i plaćeni potez. bacanje što više prljavštine na Apple diva nekoliko dana prije predstavljanja super novih stvari. To je također jedan od mogućih scenarija kako je to moglo biti. Da bi se osoba danas oduševila akcijama, sve što treba da uradite je da shvatite koliko su one osetljive. Ali onaj koji je najbolji uvijek će biti bacit na spin, to se neće promijeniti.
One imaju sastavni dio u činjenici da su korisnici izgubili podatke i prilično malo privatnosti, tako da je u ovom slučaju sasvim u redu da dionice padaju. Barem se uči paziti na sigurnost, a mi korisnici ćemo barem izgledati dobro ;-).
Naravno, Apple nikada ne plaća ništa. Prestanite braniti vijeće po svaku cijenu. To je već sramotno. Samo su to podijelili
Baš danas sam primio e-poštu sa "checkauth@apple.com". Izgleda potpuno kao Apple, a piše da je aplikacija koju čak i ne koristim preuzeta sa mog računa. Kada sam otišao da promijenim lozinku, preusmjerio me je na stranicu koja samo izgleda kao Apple.com, ali URL adresa je očigledno drugačija.