Michal Ždanský Efter flere dage med Apples interne undersøgelse udsendte selskabet en erklæring vedr hacking af nogle berømtheders iCloud-konti, hvis delikate billeder lækket til offentligheden. Ifølge Apple blev billederne ikke lækket ved at hacke iCloud og Find My iPhone-tjenesterne, da den måde, hackerne skaffede billederne på, fastslog et målrettet angreb på brugernavne, adgangskoder og sikkerhedsspørgsmål. De kommenterede dog ikke, hvordan iCloud-billederne blev skaffet.
Ifølge Wired blev adgangskoderne knækket ved hjælp af retsmedicinsk software brugt af offentlige myndigheder. På opslagstavlen Anon-IB, hvor flere berømthedsbilleder dukkede op, diskuterede nogle medlemmer åbent at bruge softwaren på vegne af ElcomSoft Phone Password Breaker. Dette giver dig mulighed for at indtaste de opnåede brugernavne og adgangskoder for at hente hele backupfilerne fra iPhone og iPad. Ifølge en sikkerhedsekspert interviewet af Wired, matcher metadataene fra billederne brugen af den nævnte software.
Hackerne skulle kun indhente brugernavne (Apple ID) og adgangskoder, hvilket de sandsynligvis opnåede takket være den tidligere nævnte metode ved hjælp af programmet iBrute sammen med Find My iPhone-sårbarheden, som gjorde det muligt for angribere at gætte adgangskoden uden en begrænsning på antallet af forsøg. Apple fiksede sårbarheden kort efter, at den blev opdaget. Det faktum, at ofrene for hackerangrebet ikke brugte totrinsbekræftelse, som kræver indtastning af en kode sendt til telefonen, spillede også en stor rolle. Det skal bemærkes, at totrinsbekræftelse ikke gælder for iCloud backup og Photo Stream-tjenester, men de ville gøre det meget sværere at få adgangskoder til brugernavne i første omgang.
Selv med totrinsbekræftelse er iCloud dog ikke ideelt beskyttet. Som opdaget af Michael Rose fra serveren TUAW, når du synkroniserer Photo Stream, Safari-sikkerhedskopi og e-mail-beskeder til en ny Apple-computer, er der ingen advarsel til brugeren om, at data er blevet tilgået fra den nye computer. Kun med kendskab til Apple ID og adgangskode var det muligt at downloade det nævnte indhold uden brugerens vidende. Som du kan se, har Apples cloud-tjenester stadig nogle revner, selvom brugeren er beskyttet af to-trins verifikation, som i øvrigt stadig ikke er tilgængelig i eksempelvis Tjekkiet eller Slovakiet. Efter denne affære faldt Apples aktier trods alt med fire procent.
Du ville ikke tro, hvordan et par berømtheder med en dement simpel adgangskode og pornobilleder på deres telefon kan flytte aktierne i et så stort firma :)
De har en integreret del i, at brugerne mistede deres data og en del privatliv, så i dette tilfælde er det helt normalt, at aktierne falder. Det er i hvert fald at lære at være opmærksom på sikkerheden, og vi brugere vil i hvert fald have det fint ;-).
Så adgangskoder blev knækket ved hjælp af programmet iBrute, som bruger en prøve-/fejlmetode til at prøve alle ofte brugte adgangskoder ifølge en ordbog. Svagheden var, at ofrene havde en ordbog eller svag adgangskode, og Apple blokerede ikke denne metode (f.eks. ved at begrænse antallet af mislykkede forsøg i minuttet) i Find My Phone (nu rettet). Når først de havde adgangskoden, kunne de gøre, hvad de ville. Men for ikke at afsløre oplysninger om registreringen af en anden enhed med det samme Apple-id, downloadede de en komplet sikkerhedskopi af iPhone fra iCloud ved hjælp af EPPB-programmet og udtrak billeder fra sikkerhedskopien ved hjælp af dette program. Konklusion - et godt kodeord er simpelthen et must.
Jeg ville ikke blive overrasket, hvis det også var et betalt træk. smide så meget snavs som muligt på Apple-giganten et par dage før introduktionen af supernye ting. Det er også et af de mulige scenarier for, hvordan det kunne have været. For at en person kan blive begejstret for aktier i dag, er alt, hvad du skal gøre, at indse, hvor følsomt det er. Men den, der er den bedste, vil altid blive kastet et spin, det ændrer sig ikke.
De har en integreret del i, at brugerne mistede deres data og en del privatliv, så i dette tilfælde er det helt normalt, at aktierne falder. Det er i hvert fald at lære at være opmærksom på sikkerheden, og vi brugere vil i hvert fald have det fint ;-).
Selvfølgelig betaler Apple aldrig for noget. Stop med at forsvare rådet for enhver pris. Det er allerede pinligt. De har bare delt det
Netop i dag modtog jeg en e-mail fra "checkauth@apple.com". Den ligner præcis Apple, og den siger, at en applikation, som jeg ikke engang bruger, er blevet downloadet fra min konto. Da jeg gik for at ændre min adgangskode, omdirigerede den mig til en side, der bare ligner Apple.com, men URL-adressen er tydeligvis anderledes.