Teoretycznie luki w zabezpieczeniach iCloud wyeliminowano i użytkownicy mogą czuć się bezpiecznie Problem w tym, że o luce Apple wiedział od kilku miesięcy.
Temat iCloud wraca do nas jak bumerang, tym razem za sprawą pewnego londyńskiego dewelopera, który podzielił się z dziennikarzami The Daily Dot wiadomością, którą wysłał do Apple. Ibrahim Balic twierdzi, że już na początku roku odkrył lukę umożliwiającą złamanie hasła do iCloud za pośrednictwem ataku brute force i podzielił się swoim znaleziskiem z ludźmi z Cupertino. Jako dowód prezentuje treść swojego maila wraz z odpowiedzią jednego z pracowników Apple, który obiecuje przyjrzeć się tej sprawie.
Mail dotarł do firmy 26 marca tego roku. Balic wyjaśnił w nim, że znalazł sposób na wypróbowanie przeszło 20 tysięcy haseł do zalogowania się na dowolnym koncie Apple, zwracając uwagę na fakt, iż firma nie stosuje żadnych zabezpieczeń, by uniemożliwić wykradzenie danych przy pomocy ataku brute force.
Na mailu się nie skończyło, Balic chciał być pewny, że jego zgłoszenie zostanie potraktowane priorytetowo, dlatego zgłosił lukę również za pomocą formularza online dostępnego na stronie Apple. Jak się okazało, sześć miesięcy nie wystarczyło, aby naprawić ten błąd.
Błąd, który umożliwił hackerom wielokrotne próby zalogowania się na konto iCloud, bez obawy, że po kilku błędnie wpisanych hasłach dostęp do konta zostanie zablokowany. Wystarczyło zatem uzbroić się w cierpliwość, by udało się złamać zabezpieczenia.
Kuriozum całej sprawie dodaje fakt, że Apple w końcu odezwało się co Balica z prośbą o uszczegółowienie swojego zgłoszenia. Koniec końców ktoś z zespołu Apple Product Security odpowiedział, że nie ma potrzeby wprowadzania sugerowanych zmian, gdyż znalezienie prawidłowego hasła jest zbyt czasochłonne i przestępcy nie mogliby wykorzystać tej luki. Jak to się skończyło, dobrze pamiętamy.
Apple zmienił jednak zdanie i po głośnej aferze z wyciekiem prywatnych zdjęć celebrytek w końcu lepiej zabezpieczył swoje serwisy. Dziś użytkownicy usługi iCloud są informowani o nieautoryzowanym wejściu na ich konto, mogą także korzystać z dwustopniowej weryfikacji tożsamości. A Apple dalej twierdzi, że nie ma sobie nic do zarzucenia i przestępcy musieli poprawnie odpowiedzieć na pytanie bezpieczeństwa albo pozyskali loginy i hasła inną metodą, niż ta wspomniana przez Balica.
Źródło
Dodaj komentarz