Michal Ždanský Useita päiviä kestäneen Applen sisäisen tutkimuksen jälkeen yhtiö antoi asiasta lausunnon joidenkin julkkisten iCloud-tilien hakkerointi, jonka herkät valokuvat ovat vuotaneet yleisölle. Applen mukaan kuvat eivät vuotaneet hakkeroimalla iCloud- ja Find My iPhone -palveluita, sillä tapa, jolla hakkerit saivat kuvat, kalifornialaisen yrityksen insinöörit määrittelivät kohdistetun hyökkäyksen käyttäjätunnuksia, salasanoja ja turvakysymyksiä vastaan. He eivät kuitenkaan kommentoineet, miten iCloud-kuvat saatiin.
Wiredin mukaan salasanat murrettiin valtion virastojen käyttämien rikosteknisten ohjelmistojen avulla. Ilmoitustaululla Anon-IB, jossa useita julkkiskuvia ilmestyi, jotkut jäsenet keskustelivat avoimesti ohjelmiston käytöstä ElcomSoft puhelimen salasanan katkaisija. Tämän avulla voit syöttää saadut käyttäjätunnukset ja salasanat noutaaksesi kaikki varmuuskopiotiedostot iPhonesta ja iPadista. Wiredin haastatteleman tietoturvaasiantuntijan mukaan kuvien metatiedot vastaavat mainitun ohjelmiston käyttöä.
Hakkerien täytyi hankkia vain käyttäjätunnukset (Apple ID) ja salasanat, minkä he luultavasti saavuttivat aiemmin mainitun ohjelman avulla. iBrute sekä Find My iPhone -haavoittuvuus, jonka ansiosta hyökkääjät saattoivat arvata salasanan ilman rajoituksia yritysten lukumäärälle. Apple korjasi haavoittuvuuden pian sen havaitsemisen jälkeen. Isossa roolissa oli myös se, että hakkerihyökkäyksen uhrit eivät käyttäneet kaksivaiheista vahvistusta, joka edellyttää puhelimeen lähetetyn koodin syöttämistä. On syytä huomata, että kaksivaiheinen vahvistus ei koske iCloud-varmuuskopiointi- ja Photo Stream -palveluita, mutta ne vaikeuttaisivat huomattavasti käyttäjätunnussalasanojen hankkimista alun perin.
Kuitenkin, edes kaksivaiheisella vahvistuksella, iCloud ei ole ihanteellisesti suojattu. Kuten palvelimen Michael Rose löysi TUAW, kun synkronoidaan Photo Streamin, Safari-varmuuskopion ja sähköpostiviestit uuteen Apple-tietokoneeseen, käyttäjälle ei tule varoitusta, että tietoja on käytetty uudesta tietokoneesta. Vain Apple ID:n ja salasanan tiedossa oli mahdollista ladata mainittu sisältö käyttäjän tietämättä. Kuten näette, Applen pilvipalveluissa on edelleen joitain halkeamia, vaikka käyttäjä on suojattu kaksivaiheisella vahvistuksella, joka ei muuten ole vieläkään saatavilla esimerkiksi Tšekin tasavallassa tai Slovakiassa. Loppujen lopuksi tämän tapauksen jälkeen Applen osakkeet putosivat neljä prosenttia.
Ei uskoisi kuinka pari julkkista, joilla on älyttömän yksinkertainen salasana ja pornokuvat puhelimessaan, voi siirtää näin suuren yrityksen osakkeita :)
Niillä on olennainen osa sitä tosiasiaa, että käyttäjät menettivät tietoja ja melkoisen yksityisyyden, joten tässä tapauksessa on täysin ok, että osakkeet putoavat. Ainakin se oppii kiinnittämään huomiota turvallisuuteen ja me käyttäjät ainakin näytämme olevan kunnossa ;-).
Salasanoja murrettiin siis iBrute-ohjelmalla, joka kokeilu/error-menetelmällä yrittää kaikkia usein käytettyjä salasanoja jonkin sanakirjan mukaan. Heikkous oli, että uhreilla oli sanakirja tai heikko salasana, eikä Apple estänyt tätä menetelmää (esim. rajoittamalla epäonnistuneiden yritysten määrää minuutissa) Find My Phone -sovelluksessa (nyt korjattu). Kun heillä oli salasanat, he saattoivat tehdä mitä halusivat. Mutta jotta he eivät paljastaisi tietoja toisen laitteen rekisteröinnistä, jolla on sama Apple ID, he latasivat iPhonen täydellisen varmuuskopion iCloudista EPPB-ohjelman avulla ja poimivat valokuvia varmuuskopiosta käyttämällä tätä ohjelmaa. Johtopäätös – hyvä salasana on yksinkertaisesti välttämätön.
En olisi yllättynyt, jos se olisi myös maksettu liike. heittää niin paljon likaa kuin mahdollista Apple-jättiläiselle muutama päivä ennen superuusien asioiden esittelyä. Se on myös yksi mahdollisista skenaarioista, miten se olisi voinut olla. Jotta ihminen innostuu osakkeista tänään, sinun tarvitsee vain ymmärtää, kuinka herkkä se on. Mutta se, joka on paras, saa aina pyörähdyksen, se ei muutu.
Niillä on olennainen osa sitä tosiasiaa, että käyttäjät menettivät tietoja ja melkoisen yksityisyyden, joten tässä tapauksessa on täysin ok, että osakkeet putoavat. Ainakin se oppii kiinnittämään huomiota turvallisuuteen ja me käyttäjät ainakin näytämme olevan kunnossa ;-).
Toki Apple ei koskaan maksa mistään. Lopeta neuvoston puolustaminen hinnalla millä hyvänsä. Se on jo noloa. He vain jakoivat sen
Juuri tänään sain sähköpostin osoitteesta "checkauth@apple.com". Se näyttää täsmälleen Applelta, ja se sanoo, että tililtäni on ladattu sovellus, jota en edes käytä. Kun menin vaihtamaan salasanaani, se ohjasi minut sivulle, joka näyttää vain Apple.comilta, mutta URL-osoite on selvästi erilainen.