Společnost Apple věděla již v březnu 2014 o bezpečnostní díře, která nechala zranitelná osobní data uživatelů iCloud, podle uniklých e-mailů mezi společností a známým bezpečnostním výzkumníkem.
optad_b
Zobrazují se e-maily, které začátkem tohoto měsíce získal Daily Dot a které zkontrolovalo několik bezpečnostních odborníků Ibrahim Balic | , londýnský softwarový vývojář informující Apple o metodě, kterou objevil pro infiltraci účtů iCloud.
Síla zabezpečení společnosti Apple se začátkem tohoto měsíce dostala pod palbu poté, co internet zaplavily stovky nahých fotografií celebrit, které byly údajně ukradeny ze serverů iCloud. Zatímco exploit Balic říká, že hlásil, že Apple sdílí ostrou podobnost s exploitem údajně používaným v takzvaném hacku „Celebgate“, není v současné době jasné, zda se jedná o stejnou zranitelnost.
V e-mailu z 26. března Balic sdělil úředníkovi společnosti Apple, že úspěšně obešel bezpečnostní funkci, která má zabránit „brute-force“; útoky - metoda, kterou hackeři používají k prolomení hesel vyčerpávajícím vyzkoušením tisíců kombinací kláves. Tento typ útoku je obvykle poražen omezením počtu pokusů uživatelů o přihlášení.
Balic dále vysvětluje společnosti Apple, že byl schopen vyzkoušet více než 20 000 kombinací hesel na jakémkoli účtu. & ldquo; Chtěl bych vás informovat, aby to bylo opraveno, & rdquo; napsal. ( Poznámka redakce: Balikovy e-maily byly psány v angličtině, která není jeho prvním jazykem. )
Tuto chybu zabezpečení nahlásil také Balic pomocí online platformy pro odesílání chyb společnosti Apple, jak je vidět na následujícím snímku obrazovky:
V e-mailu ze dne 6. května 2014 údajná chyba zabezpečení zjevně zůstává neopravená, protože úředník společnosti Apple nadále Balica vyslýchá ohledně podrobností jeho objevu.
Věřím, že problém nebyl zcela vyřešen. Stále mě žádali, abych jim ukázal více věcí, & rdquo; Řekl Balic Daily Dot.
Bezpečnostní díra ve službě cloudového úložiště Apple byla zpočátku obviňována z hacku Celebgate. Na web byl údajně nahrán škodlivý skript GitHub koncem minulého měsíce, podle The Next Web, které mohli hackeři použít ke kompromitaci účtů iCloud:
& ldquo; Zranitelnost údajně objevená v Najdi můj iPhone Zdá se, že služba umožnila útočníkům použít tuto metodu k opakovanému hádání hesel bez jakéhokoli blokování nebo upozornění na cíl. Jakmile bude heslo nakonec spárováno, může jej útočník použít k volnému přístupu k dalším funkcím iCloud. & Rdquo;
Brzy poté, co fotografie Celebgate explodovaly na webu, společnost Apple údajně opravila zranitelnost identifikovanou v příspěvku GitHub. Společnost však popřela, že by byla jakýmkoli způsobem spojena s událostí Celebgate. Krádež fotografií, a prohlášení společnost trvala na tom, že to nebylo výsledkem porušení jakýchkoli systémů Apple, včetně iCloud nebo Find my iPhone. & rdquo;
Společnost Apple také rozšířila používání dvoustupňového ověřování k další ochraně účtů iCloud. Uživatelé se musí přihlásit k použití dodatečného zabezpečení, které vyžaduje, aby při každém přihlášení zadali čtyřmístný kód zaslaný textovou zprávou.
Ukradené fotografie celebrit, pravděpodobně získané dříve, než Apple posílí jeho bezpečnost, nadále zobrazovat online . V sobotu byly na web 4chan zveřejněny údajné nahé fotografie Jennifer Lawrence, Kim Kardashian a dalších. Podle nedávné zprávy FBI hacker stále vyšetřuje prohlášení od donucovacího orgánu.
Balicův útok iCloud hrubou silou není jeho první zprávou o zranitelnosti pro Apple. V červnu 2013 identifikoval bezpečnostní chybu v Apple Developer Center. Podle Balica byl web téměř okamžitě odstraněn, ale říká, že jeho zpráva neobdržela od společnosti žádnou odpověď. V tisková zpráva vydané o několik dní později, Apple popsal & ldquo; bezpečnostní hrozbu & rdquo; a tvrdil, že vetřelec se pokusil zabezpečit osobní údaje [registrovaných vývojářů]. & rdquo;
Balic, který nebyl spokojen s tím, jak Apple zpracoval jeho zprávu, a obával se, že donucovací orgány vyšetřují jejich obvinění, vyšel na veřejnost v podobě komentář na článku TechCrunch. Později nahrál YouTube video , který podle něj obsahuje důkaz o jeho objevu.
Společnost Apple později uznala společnost Balic za hlášení chyby zabezpečení skriptování mezi weby (XSS) Stránka oznámení webového serveru .
Začátkem tohoto měsíce generální ředitel společnosti Apple Tim Cook uvedl, že jeho společnost měla udělat více, aby své zákazníky upozornila na bezpečnostní problémy.
& ldquo; Když ustoupím od tohoto hrozného scénáře, který se stal, a řeknu, co víc jsme mohli udělat, pomyslím na kus povědomí, & rdquo; řekl Wall Street Journal . & ldquo; Myslím si, že máme zodpovědnost to napravit. To ve skutečnosti není inženýrská věc. & Rdquo;
Balic souhlasil. & ldquo; Pokud by Apple vzal tento problém vážněji, možná by takový problém nevznikl, & rdquo; řekl.
Apple neodpověděl na několik žádostí o komentář.
Ilustrace od Jasona Reeda
