Michal Ždanský Pagkatapos ng ilang araw ng panloob na pagsisiyasat ng Apple, naglabas ang kumpanya ng pahayag tungkol sa pag-hack ng mga iCloud account ng ilang celebrity, na ang mga maseselang larawan ay nag-leak sa publiko. Ayon sa Apple, ang mga larawan ay hindi na-leak sa pamamagitan ng pag-hack ng mga serbisyo ng iCloud at Find My iPhone, dahil sa paraan ng pagkuha ng mga hacker ng mga larawan, natukoy ng mga inhinyero ng kumpanya ng California ang isang naka-target na pag-atake sa mga username, password at mga tanong sa seguridad. Gayunpaman, hindi sila nagkomento sa kung paano nakuha ang mga larawan ng iCloud.
Ayon kay Wired, na-crack ang mga password gamit ang forensic software na ginagamit ng mga ahensya ng gobyerno. Sa Bulletin Board Anon-IB, kung saan lumitaw ang ilang mga larawan ng celebrity, hayagang tinalakay ng ilang miyembro ang paggamit ng software sa ngalan ng ElcomSoft Phone Password Breaker. Binibigyang-daan ka nitong ipasok ang mga nakuhang username at password para makuha ang buong backup na file mula sa iPhone at iPad. Ayon sa isang security expert na nakapanayam ng Wired, ang metadata mula sa mga larawan ay tumutugma sa paggamit ng nasabing software.
Ang mga hacker ay kailangan lamang kumuha ng mga username (Apple ID) at mga password, na kanilang nakamit marahil salamat sa naunang nabanggit na paraan gamit ang programa. iBrute kasama ang kahinaan ng Find My iPhone, na nagpapahintulot sa mga umaatake na hulaan ang password nang walang limitasyon sa bilang ng mga pagtatangka. Na-patch ng Apple ang kahinaan sa lalong madaling panahon matapos itong matuklasan. Ang katotohanan na ang mga biktima ng pag-atake ng hacker ay hindi gumamit ng dalawang hakbang na pag-verify, na nangangailangan ng pagpasok ng isang code na ipinadala sa telepono, ay gumaganap din ng isang malaking papel. Dapat tandaan na ang dalawang-hakbang na pag-verify ay hindi nalalapat sa backup ng iCloud at mga serbisyo ng Photo Stream, gayunpaman, gagawin nilang mas mahirap na makakuha ng mga password ng username sa unang lugar.
Gayunpaman, kahit na may dalawang hakbang na pag-verify, ang iCloud ay hindi perpektong protektado. Tulad ng natuklasan ni Michael Rose ng server TUAW, kapag nagsi-sync ng Photo Stream, Safari backup at mga mensaheng e-mail sa isang bagong Apple computer, walang babala sa user na ang data ay na-access mula sa bagong computer. Tanging sa kaalaman ng Apple ID at password ay posible na i-download ang nabanggit na nilalaman nang hindi nalalaman ng gumagamit. Tulad ng nakikita mo, ang mga serbisyo ng cloud ng Apple ay mayroon pa ring ilang mga bitak, kahit na ang gumagamit ay protektado ng dalawang-hakbang na pag-verify, na, sa pamamagitan ng paraan, ay hindi pa rin magagamit sa, halimbawa, sa Czech Republic o Slovakia. Pagkatapos ng lahat, pagkatapos ng kapakanan na ito, ang pagbabahagi ng Apple ay bumagsak ng apat na porsyento.
Hindi ka maniniwala kung paano magagalaw ng isang pares ng mga celebrity na may simpleng password at porn na larawan sa kanilang telepono ang mga share ng isang malaking kumpanya :)
Mayroon silang mahalagang bahagi sa katotohanang nawalan ng data ang mga user at medyo may privacy, kaya sa kasong ito, okay lang na bumagsak ang mga share. Hindi bababa sa ito ay pag-aaral upang bigyang-pansin ang seguridad at kaming mga gumagamit ay hindi bababa sa mukhang maayos ;-).
Kaya na-crack ang mga password gamit ang iBrute program, na gumagamit ng trial/error method para subukan ang lahat ng madalas na ginagamit na password ayon sa ilang diksyunaryo. Ang kahinaan ay ang mga biktima ay may diksyunaryo o mahinang password at hindi hinarangan ng Apple ang pamamaraang ito (hal. sa pamamagitan ng paglilimita sa bilang ng mga nabigong pagtatangka bawat minuto) sa Find My Phone (naayos na ngayon). Kapag nakuha na nila ang mga password, magagawa na nila ang anumang gusto nila. Gayunpaman, upang hindi magbunyag ng impormasyon tungkol sa pagpaparehistro ng isa pang device na may parehong Apple ID, nag-download sila ng kumpletong backup ng iPhone mula sa iCloud gamit ang EPPB program at nag-extract ng mga larawan mula sa backup gamit ang program na iyon. Konklusyon - ang isang magandang password ay kailangan lang.
Hindi na ako magtataka kung paid move din iyon. nagtatapon ng mas maraming dumi hangga't maaari sa higanteng Apple ilang araw bago ang pagpapakilala ng mga sobrang bagong bagay. Isa rin ito sa mga posibleng senaryo kung paano ito nangyari. Upang ang isang tao ay matuwa sa mga stock ngayon, ang kailangan mo lang gawin ay mapagtanto kung gaano ito kasensitibo. Pero ang pinakamagaling ay laging iiikot, hindi magbabago.
Mayroon silang mahalagang bahagi sa katotohanang nawalan ng data ang mga user at medyo may privacy, kaya sa kasong ito, okay lang na bumagsak ang mga share. Hindi bababa sa ito ay pag-aaral upang bigyang-pansin ang seguridad at kaming mga gumagamit ay hindi bababa sa mukhang maayos ;-).
Oo naman, hindi kailanman nagbabayad ang Apple para sa anumang bagay. Itigil ang pagtatanggol sa konseho sa anumang paraan. Nakakahiya na. Ibinahagi lang nila
Ngayon lang ako nakatanggap ng email mula sa "checkauth@apple.com". Kamukhang-kamukha ito ng Apple, at sinasabi nito na ang isang application na hindi ko man lang ginagamit ay na-download mula sa aking account. Nang palitan ko ang aking password, ini-redirect ako nito sa isang page na kamukha lang ng Apple.com, ngunit malinaw na naiiba ang URL address.