Компания
449,80
рейтинг
1 сентября 2014 в 20:05

Разработка → Apple исправила важную уязвимость в iCloud

Компания Apple исправила уязвимость в сервисе iCloud (точнее, в его функции «Найти iPhone»), которая позволяла злоумышленникам проводить атаку типа brute force и подбирать пароль к аккаунту сервиса (т. е. получать пароль Apple ID). Злоумышленникам уже должен был быть известен адрес электронной почты аккаунта, затем они использовали скрипт для эксплуатации уязвимости сервиса и получали доступ к аккаунту. Предположительно, именно этой уязвимостью воспользовались злоумышленники, которые похитили фото знаменитостей и разместили их в открытом доступе.



Ранее исходные тексты инструмента iBrute для проведения этой атаки были размещены на ресурсе GitHub. Таким образом, любой желающий мог воспользоваться этой уязвимостью и провести атаку на сервис (который в нормальной ситуации должен был блокировать доступ к аккаунту пользователя после нескольких неудачных попыток ввода пароля Apple ID). Разумеется, пользователи, которые использовали сложные пароли к своим аккаунтам, наименее всего могли пострадать от этой уязвимости. В описании файла скрипта iBrute на GitHub теперь красуется такой дисклеймер (см. скриншот ниже).



Apple has patched an exploit with its Find My iPhone online service that may have been used by hackers to gain access to personal photos stored on iCloud accounts belonging to some 100 celebrities.
Автор: @esetnod32
ESET NOD32
рейтинг 449,80

Комментарии (33)

  • +29
    Спасибо, уже все видели )))
    • –2
      Пропиарились в итоге все, и звёзды и Apple :)
      • +15
        Подождите суды начнутся, они там любят судиться.
        • 0
          Тоже пиар, в основном для звезд.
          • 0
            Пиар, ни пиар, а с яблока бобла стряхнут.
            • 0
              Причем требовать будут наверняка нехилые суммы. Другой вопрос: Выиграют ли?
              • +6
                Зависит от того, что написано в пользовательском соглашении. Думаю, юристы Apple были бы идиотами, если бы не прописали что-нибудь вроде «ваши файлы — ваши проблемы».
                • +24
                  Разумеется, прописали:
                  APPLE DOES NOT REPRESENT OR GUARANTEE THAT THE SERVICE WILL BE FREE FROM LOSS, CORRUPTION, ATTACK, VIRUSES, INTERFERENCE, HACKING, OR OTHER SECURITY INTRUSION, AND APPLE DISCLAIMS ANY LIABILITY RELATING THERETO.

                  (Apple не гарантирует, что сервис будет свободен от потерь, повреждений, атак, вирусов, вмешательства, хакеров, или других нарушений безопасности, и Apple отказывается от любой ответственности в этом отношении.)

                  Кроме того:
                  You are solely responsible for maintaining the confidentiality and security of your Account and for all activities that occur on or through your Account…

                  (Вы и только Вы ответственны за поддержание конфиденциальности и безопасности Вашего аккаунта, а также за все действия совершаемые в или посредством Вашего аккаунта...)

                  You agree that you will NOT use the Service to:
                  a. upload, download, post, email, transmit, store or otherwise make available any Content that is unlawful, harassing, threatening, harmful, tortious, defamatory, libelous, abusive, violent, obscene, vulgar, invasive of another’s privacy, hateful, racially or ethnically offensive, or otherwise objectionable;

                  (Вы соглашаетесь НЕ использовать сервис для: загрузки, [...] передачи, хранения [...] любого содержимого, являющегося незаконным, [...] непристойным, вульгарным, [...])
                  • +1
                    Это хрень собачья, пока в суде не поддержали. Думаю могут надавать нехило, если что-то серьезное может всплыть так (фотки конгрессменов или не дай бог президента). В суде судья может решить, что это противоречит их рекламе и соответственно туфта собачья. В Европе так точно решат, так что, если кто-то будет подавать в суд на европейскую Apple им кабзда.

                    А уж коллективный иск вообще прелестью будет.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        Просто, если реклама говорит, что secure, а реальность говорит обратное, то юристы могут потягаться.
                      • 0
                        мне кажется, использование защитой аргумента «у вас был пароль „сексигерл“ уже говорит о чем-то.
                  • +2
                    Таким образом, виноваты оказываются эти голые люди.
                  • 0
                    А что-нибудь по поводу автозагрузки фотографий на iCloud есть? Ведь пользователи могут и не догадываться. А, соответственно, юристам будет, что сказать.
                    • –1
                      Ну так для начала нужно было эту автозагрузку включить и принять пользовательское соглашение.
  • +28
    Так как перебор идет по словарю, а мой пароль KRU$&ootfj(^L*L8bl07DC@XX, то можно ведь ничего не бояться?
    • +63
      Нет, все в порядке. А email у вас, кстати, какой?
      • +46
        canthackthis@icloud.com, а почему вы спрашиваете?
        • +2
          у меня в голове ваш мыльник играет
    • +25
      Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
      – Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
      Нет, – ответил мастер Инь, – это словарный пароль.
      – Но такого слова нет в словарях…
      – «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
      – А пароль «Pft,bcm» подойдёт?
      – Вряд ли. Он тоже словарный.
      – Но как же? Это же…
      – Введи это сочетание в Гугле – и сам увидишь.
      Сисадмин защёлкал клавишами.
      – О, да. Вы правы, Учитель.
      Через некоторое время Сисадмин воскликнул:
      – Учитель, я подобрал хороший пароль, которого не может быть в словарях.
      Инь Фу Во кивнул.
      – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
      – Теперь есть.
      • –9
        Только один вопрос: а Wikipedia — это словарь или нет? Потому как там, конечно, 史達林格勒戰役 вполне себе фигурирует… А так да, конечно…
  • –7
    Если честно, когда я мельком проглядел материалы, из за которых возникла такая шумиха, у меня невольно всплыло ощущение, что этот скандал — совершенно конкретно запланированный и выполненный, ибо… Ну уж слишком одинаковые и однотипные материалы от различных звезд, практически «Фотография в паспорт 3 на 4 с уголком». Допускаю, что реально могла быть пи-ар акция, тем более за неделю до презентации эппла, подогреть толпу.
    Хотя со своего телефона все равно стараюсь фотки никуда не грузить :)
    • +9
      Кто-то умный сказал: «не надо искать сложных объяснений, если можно объяснить просто раздолбайством»…
  • –5
    Оффтоп
    А когда Хабр понизил планки возможностей? Внезапно заметил, что раньше можно было плюсовать/минусовать в карму от >=15 кармы, а сейчас >=10. Можно в личку ответить, если не хотите тут «мусорить».
  • +3
    Вот поэтому я не пользуюсь iCloud. Ах да, и не фоткаю сиськи на свой айпад.
    • +3
      А на что фоткаете, если не секрет?
      • +2
        Ни на что. Натура всегда прекрасней :)
  • +4
    Интересно, а кто-то обратил внимание, что на фотографиях не всегда фигурирует айфон, а совершенно другие телефоны.
    • 0
      Была теория, что фотки не с айфона владельцы заливали на комп и потом в облако. Но по вероятности это такая себе теория, если честно
  • 0
    Кстати, блокировку самих устройств apple с 3g через iCloud уже научились снимать железным способом, но с потерей данных. Например, в ipad 2 3g нужно выпаять 2 резистора и восстановить через itunes. Будет обычная wi-fi версия. По остальным у меня инструкций не было (я вообще паять не умею и попалась случайно).

    В Украина полно на барахолках таких переделанных ipad и ipod, полученных из iphone.

    Для мобилок, вроде, уже и скрипты продают. Но нельзя обновляться или сбрасывать устройство.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка