Apple исправляет дыру в брут-форсе в iCloud

  1. О Грэм Клули

В новогодний день, когда большинство из нас приходило в себя от праздников прошлой ночи, Apple столкнулась с совершенно другой головной болью
В новогодний день, когда большинство из нас приходило в себя от праздников прошлой ночи, Apple столкнулась с совершенно другой головной болью.

Хакерская группа, называющая себя Pr0x13, выпустила инструмент, предназначенный для использования дыры в безопасности Apple и получения доступа к учетным записям iCloud с помощью грубой силы.

iDict был описан как «атака на 100% работающий iCloud Apple ID Dictionary, которая обходит ограничения блокировки учетной записи и вторичную проверку подлинности для любой учетной записи».

Представляя себя законным устройством iPhone, программное обеспечение iDict будет многократно пытаться проникнуть в учетные записи iCloud, обрабатывая длинный список часто используемых паролей. Это та атака, которую, как вы надеетесь, Apple, как правило, предотвратит - заметив, что неправильный пароль был введен пять раз, а затем заблокировав дальнейшие попытки.

Но iDict, очевидно, преодолел это препятствие безопасности - и, по словам его автора, он мог даже обойти вопросы безопасности («Каким был ваш первый автомобиль?») И двухфакторную аутентификацию.

Выпуская свой код на GitHub, Pr0x13 утверждал, что дыра в безопасности, эксплуатируемая iDict, была «до боли очевидна» и что «это был лишь вопрос времени, когда он был использован в личных целях в злонамеренных или гнусных целях». Далее хакер объяснил, что код iDict был публично раскрыт, «так что Apple его исправит».

Какой способ начать 2015 год ... как будто 2014 год не вызвал достаточного беспокойства по поводу облачной безопасности с многочисленными утечками обнаженные знаменитости фото ,

К счастью, похоже, что Apple быстро отреагировала на угрозу iDict, и к 2 января брешь в безопасности, по-видимому, была устранена, о чем Pr0x13 признал в твите.

Я далек от убеждения, что Pr0x13 поступил правильно, выпустив инструмент iDict и его код.

Я полностью понимаю, что такая дыра в безопасности учетных записей iCloud очень серьезна, и ее нужно быстро исправить. Но я бы предпочел, чтобы код не был доступен для многих, кто, без сомнения, испытал бы соблазн использовать его злонамеренно и незаконно.

В таких ситуациях всегда полезно сообщить поставщику, у которого есть дыра в безопасности, и, если вы чувствуете, что им нужно поднять заднюю сторону, чтобы быстро исправить это, сообщить и продемонстрировать уязвимость для СМИ.

В конце концов, об этом можно было бы сообщить и сделать насущную проблему для Apple, чтобы исправить без выпуска кода.

Конечно, лучше всего было бы, если бы эти дыры в безопасности вообще не присутствовали или, по крайней мере, были обнаружены собственной командой Apple по разработке и безопасности. На самом деле, все мы, кто использует iCloud, потенциально подвергались риску взлома наших учетных записей.

На самом деле, все мы, кто использует iCloud, потенциально подвергались риску взлома наших учетных записей

О Грэм Клули

Грэм Клули - отмеченный наградами блоггер по вопросам безопасности, исследователь и оратор. Он работает в индустрии компьютерной безопасности с начала 1990-х годов, работая в таких компаниях, как Sophos, McAfee и Dr Solomon's. Он выступал с докладами о компьютерной безопасности для некоторых крупнейших мировых компаний, работал с правоохранительными органами над расследованиями хакерских групп, и регулярно появляется на телевидении и радио, разъясняя угрозы компьютерной безопасности. Грэм Клули был включен в Зал славы InfoSecurity Europe в 2011 году и был отмечен в «10 величайших британцах в истории информационных технологий» за вклад в качестве ведущего авторитета в области интернет-безопасности. Следуйте за ним в Твиттере на @gcluley , Просмотреть все сообщения от Graham Cluley →

«Каким был ваш первый автомобиль?