Apple advarede om iCloud-sårbarhed med brute-force 6 måneder før Celebgate

Apple advarede om iCloud-sårbarhed med brute-force 6 måneder før Celebgate

Apple vidste allerede i marts 2014 et sikkerhedshul, der efterlod iCloud-brugernes personlige data sårbare, ifølge lækkede e-mails mellem virksomheden og en kendt sikkerhedsforsker.



E-mails, der blev opnået tidligere denne måned af Daily Dot og gennemgået af flere sikkerhedseksperter, viser Ibrahim Balic | , en London-baseret softwareudvikler, der informerer Apple om en metode, han & rsquo; d opdagede til infiltrering af iCloud-konti.

Styrken ved Apples sikkerhed kom under beskydning tidligere på denne måned, efter at hundredvis af nøgenbilleder af berømtheder, angiveligt stjålet fra iCloud-servere, oversvømmede Internettet. Mens udnyttelsen Balic siger, at han rapporterede til Apple, deler den en stærk lighed med den udnyttelse, der angiveligt er brugt i det såkaldte 'Celebgate' -hack, er det i øjeblikket uklart, om de er den samme sårbarhed.



I en e-mail den 26. marts fortæller Balic en Apple-tjenestemand, at han med succes har omgået en sikkerhedsfunktion designet til at forhindre & ldquo; brute-force & rdquo; angreb - en metode, der bruges af hackere til at knække adgangskoder ved udtømmende at prøve tusindvis af tastekombinationer. Typisk er denne type angreb besejret ved at begrænse antallet af gange, brugere kan prøve at logge på.

Balic fortsætter med at forklare Apple, at han var i stand til at prøve over 20.000 adgangskodekombinationer på enhver konto. & ldquo; Jeg vil gerne informere dig om, at det er ordentligt, & rdquo; han skrev. ( Editorens bemærkning: Balicens e-mails blev skrevet på engelsk, hvilket ikke er hans første sprog. )

Brud på Apple iCloud 4

Klik for at forstørre



Sårbarheden blev også rapporteret af Balic ved hjælp af Apples online bug-indsendelsesplatform, som det fremgår af følgende skærmbillede:

Apple iCloud-overtrædelse 3



Klik for at forstørre

I en e-mail dateret 6. maj 2014 forbliver den rapporterede sårbarhed tilsyneladende ubundet, da en Apple-embedsmand fortsætter med at stille spørgsmålstegn ved Balic om detaljerne i hans opdagelse.

& ldquo; Jeg mener, at problemet ikke blev løst fuldstændigt. De blev ved med at bede mig om at vise dem flere ting, & rdquo; Balic fortalte Daily Dot.

Apple iCloud-overtrædelse 2



Klik for at forstørre

Et sikkerhedshul i Apples skyopbevaringstjeneste blev oprindeligt bebrejdet for Celebgate-hacket. Et ondsindet script blev angiveligt uploadet til webstedet GitHub i slutningen af ​​sidste måned, ifølge Det næste web, som muligvis er blevet brugt af hackere til at kompromittere iCloud-konti:

& ldquo; Sårbarheden angiveligt opdaget i Find min Iphone tjenesten ser ud til at have ladet angribere bruge denne metode til at gætte adgangskoder gentagne gange uden nogen form for lockout eller alarm til målet. Når adgangskoden til sidst er blevet matchet, kan angriberen derefter bruge den til at få adgang til andre iCloud-funktioner frit. & Rdquo;

Kort efter Celebgate-fotos eksploderede over Internettet, rapporterede Apple angiveligt den sårbarhed, der blev identificeret i GitHub-indlægget. Virksomheden benægtede dog, at det på nogen måde var knyttet til Celebgate-begivenheden. Tyveriet af fotografierne, a udmelding fra firmaet insisterede, var ikke resultatet af & ldquo; nogen overtrædelse i nogen af ​​Apples systemer, herunder iCloud eller Find min iPhone. & rdquo;

Apple udvidede også brugen af ​​totrinsbekræftelse for yderligere at beskytte iCloud-konti. Brugere skal tilmelde sig at anvende den ekstra sikkerhed, som kræver, at de indtaster en firecifret kode, der sendes med sms, hver gang de logger ind.

Stjålne berømthedsbilleder, sandsynligvis opnået før Apple styrket dets sikkerhed, fortsæt med at vises online . På lørdag blev påståede nøgenbilleder af Jennifer Lawrence, Kim Kardashian og andre offentliggjort på hjemmesiden 4chan. FBI undersøger stadig hacket, ifølge en nylig udmelding fra politiet.

Balics brutale iCloud-angreb er ikke hans første sårbarhedsrapport til Apple. I juni 2013 identificerede han en sikkerhedsfejl i Apple Developer Center. Ifølge Balic blev hjemmesiden næsten straks fjernet, men han siger, at hans rapport ikke fik noget svar fra virksomheden. I en pressemeddelelse udstedt et par dage senere beskrev Apple en & ldquo; sikkerhedstrussel & rdquo; og hævdede, at & ldquo; en ubuden gæst forsøgte at sikre personlige oplysninger om [registrerede udviklere.] & rdquo;

Ulykkelig med, hvordan Apple håndterede sin rapport og bekymrede sig for, at retshåndhævelse undersøgte deres beskyldninger, blev Balic offentligt i form af en kommentar på en TechCrunch-artikel. Han uploadede senere en YouTube video , som han siger indeholder bevis for sin opdagelse.

Apple anerkendte senere Balic for at have rapporteret en cross-site scripting (XSS) sårbarhed på dens Webservers notifikationsside .

Apple iCloud-overtrædelses-e-mails


Tidligere på måneden sagde Apples administrerende direktør Tim Cook, at hans firma burde have gjort mere for at advare sine kunder om sikkerhedsproblemer.

& ldquo; Når jeg træder tilbage fra dette forfærdelige scenario, der skete, og siger hvad mere kunne vi have gjort, tænker jeg på bevidsthedsstykket, & rdquo; fortalte han Wall Street Journal . & ldquo; Jeg tror, ​​vi har et ansvar for at skralde det op. Det er ikke en teknisk ting. & Rdquo;

Balic var enig. & ldquo; Hvis Apple havde taget dette problem mere alvorligt, ville der måske ikke være opstået et sådant problem, & rdquo; han sagde.

Apple reagerede ikke på flere anmodninger om kommentarer.

Illustration af Jason Reed