Egyszerű script törhette az iCloudot
Javította az Apple az iCloud súlyos hibáját, amely korlátlan számú bejelentkezési próbálkozást tett lehetővé. A hibás felület a Find My iPhone szolgáltatáshoz tartozott, mára már ott is korlátozott a kísérletek száma.
Elemi hibát vétett az Apple az iCloud rendszer tervezésénél - állítja a Hackapp független biztonsági tanácsadó cég alapítója, Alexey Troscichev. A szakember szerint az Apple az egyik hitelesítési felületen elfelejtette korlátozni a bejelentkezési próbálkozások számát, ezzel megnyílt a lehetőség a brute force (jelszópróbálgatós) támadások előtt. A jelszó kitalálásával pedig a támadó a célpont összes, az Apple felhős rendszerében tárolt adatához hozzáfér (fotók, dokumentumok, esetleg levelezés), az iEszközeit pedig távolról törölheti.
Brute force ellen nem véd
A biztonsági szakértők szerint az Apple normál iCloud-felületein megfelelő védelem van, a rendszer néhány sikertelen próbálkozás után letiltja a bejelentkezést és jelszó-emlékeztetőt küld. A Find My iPhone felületén azonban ilyen védelem nincs, így itt korlátlan számban próbálkozhat a potenciális támadó, ehhez csupán a felhasználó emailcímére van szükség. A bejelentkezési próbálkozások ráadásul automatizálhatóak, így akár milliós nagyságrendben is indíthatóak jelszópróbálgatós bejelentkezési kísérletek a szolgáltatás ellen
A Hackapp a megfelelő proof-of-concept kódot is elkészítette, a GitHubra feltöltött, viszonylag egyszerű Python-script segítségével valóban potenciálisan törhetőek voltak a fiókok, amennyiben a próbálkozásokat tartalmazó listán a célpont jelszava is megtalálható. E scriptből kiindulva elvben kifejleszthető olyan támadás, amely jól skálázódik és a nagyobb jelszóadatbázisokat felhasználva képes felhasználói fiókokat törni.
A NER-es informatika már összecsomagolt Egy esetleges kormányváltás után komoly változás jöhet az állami IT holdudvarában, amelynek jelentős munkaerőpiaci hatásai is lehetnek.
Ilyen adatbázisok egyébként széles körben elérhetőek, néhány nagy korábbi jelszószivárgás eredményeként kikerült tíz- és százmillió, valóban használt jelszavakból álló listák gyakorlatilag szabadon megtalálhatók az interneten. Ezek a listák pedig kiegészíthetőek különböző szabályok alapján generált egyéb listákkal (két- és háromszavas összetett szavak, bizonyos rendszer szerinti felcserélések, "l33t sp34k", stb.). Az ilyen típusú támadások ellen ma már csak az extrém hosszúságú és a teljesen véletlenszerűen generált jelszavak biztosítanak védelmet és mindenképp javasolt a kétfaktoros hitelesítés bekapcsolása is, ezt ma már egyre több szolgáltatás biztosítja.
Már foltozta az Apple
Az Apple a hibát a tegnapi nap folyamán javította, az értesülések szerint a nap végére már a Find My iPhone felületén sem lehet korlátlanul próbálkozni, a rendszer adott számú bejelentkezési kísérlet után ugyanúgy letilt, mint az egyéb iCloud-felületeken. Ezzel a támadás méregfogát kihúzta a cég, mivel a támadás csak igen nagyszámú próbálkozás esetén biztosít esélyt a sikerre.
A feltételezések szerint egyébként ezt a hibát használhatták ki a napokban a hírességek fotóinak kiszivárogtatásához is, a képek forrása ugyanis iCloud-támadásra hivatkozik. Erre azonban egyelőre megdöntetetlen bizonyíték nincs, egyelőre több párhuzamos forgatókönyv is él a szivárgás magyarázatára. A fenti iCloud-hiba azonban bizonyíthatóan létezett - tegnapig.