Apple предупреди за грубата сила на iCloud уязвимостта 6 месеца преди Celebgate

Apple предупреди за грубата сила на iCloud уязвимостта 6 месеца преди Celebgate

Още през март 2014 г. Apple знае за дупка в сигурността, която оставя личните данни на потребителите на iCloud уязвими, според изтекли имейли между компанията и известен изследовател по сигурността.

Показват се имейлите, получени по-рано този месец от Daily Dot и прегледани от множество експерти по сигурността Ибрахим Балич | , базиран в Лондон софтуерен разработчик, информира Apple за метод, който той е открил за проникване в акаунти в iCloud.

Силата на сигурността на Apple е подложена на огън по-рано този месец, след като стотици голи снимки на знаменитости, за които се твърди, че са откраднати от сървърите на iCloud, заляха интернет. Докато експлойтът Балич казва, че е съобщил на Apple, че прилича на експлойт, за който се твърди, че е използван в така наречения хак „Celebgate“, в момента не е ясно дали те са една и съща уязвимост.

В имейл от 26 март Балич казва на служител на Apple, че & rsquo; успешно е заобиколил защитна функция, предназначена да предотврати & ldquo; груба сила & rdquo; атаки - метод, използван от хакерите за разбиване на пароли чрез изчерпателно изпробване на хиляди комбинации от клавиши. Обикновено този вид атака се побеждава чрез ограничаване на броя пъти, в които потребителите могат да се опитат да влязат.

Балич продължава да обяснява на Apple, че е успял да изпробва над 20 000 комбинации от пароли за всеки акаунт. & ldquo; Бих искал да ви уведомя, за да бъде поправен, & rdquo; той написа. ( Бележка на редактора: Имейлите на Balic & rsquo; са написани на английски език, който не е първият му език. )

Нарушаване на Apple iCloud 4

Щракнете за уголемяване

Уязвимостта също е докладвана от Balic, използвайки онлайн платформата за подаване на грешки на Apple, както се вижда на следващата екранна снимка:

Нарушаване на Apple iCloud 3

Щракнете за уголемяване

В имейл от 6 май 2014 г. докладваната уязвимост очевидно остава непоправена, тъй като служител на Apple продължава да разпитва Балич за подробностите около откритието си.

& ldquo; Вярвам, че проблемът не е напълно решен. Те непрекъснато ме молеха да им покажа още неща, & rdquo; Балич заяви пред Daily Dot.

Нарушаване на Apple iCloud 2

Щракнете за уголемяване

Първоначално за хака на Celebgate беше обвинена дупка в сигурността в услугата за съхранение в облак на Apple. Съобщава се, че злонамерен скрипт е качен на уебсайта GitHub в края на миналия месец, според Следващата мрежа, които може да са били използвани от хакери за компрометиране на акаунти в iCloud:

& ldquo; Уязвимостта, за която се твърди, че е открита в Намери айфонът ми Изглежда, че услугата е позволила на нападателите да използват този метод, за да отгатват многократно пароли, без каквото и да е блокиране или предупреждение за целта. След като паролата в крайна сметка бъде съчетана, нападателят може след това да я използва за свободен достъп до други функции на iCloud. & Rdquo;

Скоро след като снимките на Celebgate експлодираха в мрежата, Apple съобщи, че е поправила уязвимостта, идентифицирана в публикацията на GitHub. Компанията обаче отрече да е свързана по някакъв начин със събитието Celebgate. Кражбата на снимките, а изявление от настояващата компания, не е резултат от & ldquo; някакво нарушение в която и да е от системите на Apple, включително iCloud или Find my iPhone. & rdquo;

Apple също разшири използването на проверка в две стъпки, за да защити допълнително акаунтите в iCloud. Потребителите трябва да се включат, за да приложат допълнителната защита, която изисква от тях да въвеждат четирицифрен код, изпратен чрез текстово съобщение всеки път, когато влязат.

Откраднати снимки на знаменитости, вероятно получени преди Apple да засили сигурността си, продължават да се показват онлайн . В събота предполагаеми голи снимки на Дженифър Лорънс, Ким Кардашиян и други бяха публикувани на уебсайта 4chan. Според наскоро ФБР разследва хака изявление от правоприлагащия орган.

Атаката на Balic & rsquo; iCloud с груба сила не е първият му доклад за уязвимост към Apple. През юни 2013 г. той откри недостатък в сигурността в Центъра за разработчици на Apple. Според Балич уебсайтът е почти незабавно свален, но той казва, че докладът му не е получил отговор от компанията. В съобщение за пресата издаден няколко дни по-късно, Apple описва & ldquo; заплаха за сигурността & rdquo; и твърди, че & ldquo; нарушител се е опитал да осигури лична информация на [регистрирани разработчици.] & rdquo;

Недоволен от начина, по който Apple се справи с доклада му и загрижен, че правоохранителните органи разследват техните обвинения, Балич стана публично достояние под формата на коментар на статия от TechCrunch. По-късно качи YouTube видео , който според него съдържа доказателство за откритието си.

По-късно Apple призна Balic за докладване на уязвимост на скриптове между сайтове (XSS) Страница за известия на уеб сървъра .

Имейли на Apple iCloud за нарушаване


По-рано този месец изпълнителният директор на Apple Тим Кук заяви, че компанията му е трябвало да направи повече, за да предупреди клиентите си за проблеми със сигурността.

& ldquo; Когато се отдръпна от този ужасен сценарий, който се е случил, и кажа какво повече бихме могли да направим, мисля за информираността, & rdquo; той каза на Wall Street Journal . & ldquo; Мисля, че ние носим отговорност да го направим. Това & rsquo; всъщност не е инженерно нещо. & Rdquo;

Балич се съгласи. & ldquo; Ако Apple беше приела този проблем по-сериозно, може би такъв проблем нямаше да възникне, & rdquo; той каза.

Apple не отговори на множество искания за коментар.

Илюстрация от Джейсън Рийд