Tech  / News

Więcej nagich zdjęć nie będzie - Apple łata dziurę w Find My iPhone. Co z resztą?

Prawdopodobnie znamy już sposób, który pozwolił niezidentyfikowanym jeszcze sprawcom na uzyskanie dostępu do części z dziesiątek udostępnionych dziś zdjęć celebrytek. W przypadku iCloud sprawa wydaje się być zamknięta. Pozostaje jedynie pytanie, co z pozostałymi serwisami?

Według serwisu Engadget, winny zamieszania jest błąd w usłudze Apple, Find My iPhone, który pozwalał na przeprowadzenie ataku typu brute force. Specjalnie przygotowany algorytm próbował po prostu wszystkich możliwych haseł, poddając się dopiero w momencie, gdy znalazł odpowiednią kombinację. Apple najwyraźniej zapomniało lub nie pomyślało o tym, aby wprowadzić limit prób, po przekroczeniu którego konto np. chwilowo dezaktywuje się lub żąda dodatkowej weryfikacji. Tymczasem przy ataku na FMiP Apple ID nie blokowało się nawet po kilkudziesięciu czy kilkuset razach.

Okazja czyni złodzieja?

Z taką teorią współgra termin udostępnienia narzędzia, które pozwala w prosty sposób przeprowadzić właśnie tego rodzaju atak. Odpowiedni skrypt został bowiem umieszczony na Githubie dokładnie przedwczoraj, co mogłoby dać włamywaczom odpowiedni czas na zebranie wszystkich udostępnionych materiałów. Co najważniejsze, skrypt ten został przetestowany przez kilku użytkownikach "w celach badawczych na własnych kontach", potwierdzając jego skuteczność.

icloud

I choć Apple nie skomentowało oficjalnie całej sytuacji (a wręcz odmówiło jakiegokolwiek komentarza), próby przeprowadzane w ciągu ostatnich godzin wskazują na to, że luka została przynajmniej częściowo usunięta. Serwis The Next Web poinformował, że przy logowaniu do usługi Find My iPhone obowiązuje od teraz limit 5 prób wprowadzenia hasła. Przy piątej błędnej kombinacji konto jest tymczasowo dezaktywowane i konieczne jest zresetowania hasła z wykorzystaniem naszego kota pocztowego przypisanego do serwisu. Usunięcie usterki potwierdził też autor skryptu.

Można więc uznać, że iCloud jest już odporne na włamania - przynajmniej tego typu.

Nie jest przy tym pewne, czy do ataku wykorzystany został właśnie ten skrypt, czy też może złodzieje wpadli na podobny pomysł wcześniej, a czasowy związek wycieku z udostępnieniem narzędzia jest jedynie zbiegiem okoliczności. Można sobie zadać dodatkowo pytanie, ile jeszcze tego typu błędów i dziur funkcjonuje niewykrytych w usługach chmurowych i czy pierwsi odkryją je atakujący, czy właściciele serwisów?

icloud 2

Oczywiście nadal nie ma żadnego dowodu na to, że zdjęcia pochodzą z iCloud i prawdopodobnie nigdy się go nie doczekamy. Skoro jednak była ku temu sposobność, wszystko zdaje się układać w logiczną i łatwą do zaakceptowania całość.

Kto oprócz Apple?

Zagadką pozostaje także fakt, na który wskazuje m.in. Business Insider - skąd w zestawieniu znalazły się fotografie, na których wyraźnie widać, że nie zostały wykonane telefonem od Apple? Wątpliwości budzi również to, że w przypadku niektórych fotografii udało się zidentyfikować fotomontaż, choć oczywiście zdecydowana większość z nich jest prawdziwa.

google drive

Czy zostały wykradzione z innych serwisów? Jeśli tak, to czy zastosowano taką samą metodę, czy działano w inny sposób? Czy może po prostu przy zmianie telefonu na urządzenie z iOS zdjęcia zostały dodane do galerii i przesłane do iCloud? Jak na razie żaden z niezależnych serwisów do przechowywania plików w chmurze nie zdecydował się na jakikolwiek komentarz w tej sprawie.

Zdjęcie pochodzi z serwisu Shutterstock

przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst