Mellékleteink: HUP | Gamekapocs
Keres

Egyszerű script törhette az iCloudot

Gálffy Csaba, 2014. szeptember 02. 08:25
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Javította az Apple az iCloud súlyos hibáját, amely korlátlan számú bejelentkezési próbálkozást tett lehetővé. A hibás felület a Find My iPhone szolgáltatáshoz tartozott, mára már ott is korlátozott a kísérletek száma.

Elemi hibát vétett az Apple az iCloud rendszer tervezésénél - állítja a Hackapp független biztonsági tanácsadó cég alapítója, Alexey Troscichev. A szakember szerint az Apple az egyik hitelesítési felületen elfelejtette korlátozni a bejelentkezési próbálkozások számát, ezzel megnyílt a lehetőség a brute force (jelszópróbálgatós) támadások előtt. A jelszó kitalálásával pedig a támadó a célpont összes, az Apple felhős rendszerében tárolt adatához hozzáfér (fotók, dokumentumok, esetleg levelezés), az iEszközeit pedig távolról törölheti.

 

Brute force ellen nem véd

A biztonsági szakértők szerint az Apple normál iCloud-felületein megfelelő védelem van, a rendszer néhány sikertelen próbálkozás után letiltja a bejelentkezést és jelszó-emlékeztetőt küld. A Find My iPhone felületén azonban ilyen védelem nincs, így itt korlátlan számban próbálkozhat a potenciális támadó, ehhez csupán a felhasználó emailcímére van szükség. A bejelentkezési próbálkozások ráadásul automatizálhatóak, így akár milliós nagyságrendben is indíthatóak jelszópróbálgatós bejelentkezési kísérletek a szolgáltatás ellen

A Hackapp a megfelelő proof-of-concept kódot is elkészítette, a GitHubra feltöltött, viszonylag egyszerű Python-script segítségével valóban potenciálisan törhetőek voltak a fiókok, amennyiben a próbálkozásokat tartalmazó listán a célpont jelszava is megtalálható. E scriptből kiindulva elvben kifejleszthető olyan támadás, amely jól skálázódik és a nagyobb jelszóadatbázisokat felhasználva képes felhasználói fiókokat törni.

Ilyen adatbázisok egyébként széles körben elérhetőek, néhány nagy korábbi jelszószivárgás eredményeként kikerült tíz- és százmillió, valóban használt jelszavakból álló listák gyakorlatilag szabadon megtalálhatók az interneten. Ezek a listák pedig kiegészíthetőek különböző szabályok alapján generált egyéb listákkal (két- és háromszavas összetett szavak, bizonyos rendszer szerinti felcserélések, "l33t sp34k", stb.). Az ilyen típusú támadások ellen ma már csak az extrém hosszúságú és a teljesen véletlenszerűen generált jelszavak biztosítanak védelmet és mindenképp javasolt a kétfaktoros hitelesítés bekapcsolása is, ezt ma már egyre több szolgáltatás biztosítja.

Már foltozta az Apple

Az Apple a hibát a tegnapi nap folyamán javította, az értesülések szerint a nap végére már a Find My iPhone felületén sem lehet korlátlanul próbálkozni, a rendszer adott számú bejelentkezési kísérlet után ugyanúgy letilt, mint az egyéb iCloud-felületeken. Ezzel a támadás méregfogát kihúzta a cég, mivel a támadás csak igen nagyszámú próbálkozás esetén biztosít esélyt a sikerre.

A feltételezések szerint egyébként ezt a hibát használhatták ki a napokban a hírességek fotóinak kiszivárogtatásához is, a képek forrása ugyanis iCloud-támadásra hivatkozik. Erre azonban egyelőre megdöntetetlen bizonyíték nincs, egyelőre több párhuzamos forgatókönyv is él a szivárgás magyarázatára. A fenti iCloud-hiba azonban bizonyíthatóan létezett - tegnapig.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.