Mixal Ždanskiy Bir necha kunlik Apple ichki tekshiruvidan so'ng kompaniya bu borada bayonot berdi ba'zi mashhurlarning iCloud hisoblarini buzish, uning nozik suratlari ommaga sizib ketgan. Apple’ning so‘zlariga ko‘ra, fotosuratlar iCloud va Find My iPhone xizmatlarini buzish orqali sizib chiqmagan, chunki xakerlar fotosuratlarni qo‘lga kiritish usuli bilan Kaliforniya kompaniyasi muhandislari foydalanuvchi nomlari, parollar va xavfsizlik savollariga maqsadli hujumni aniqlagan. Biroq ular iCloud fotosuratlari qanday olingani haqida izoh berishmadi.
Wired maʼlumotlariga koʻra, parollar davlat idoralari tomonidan qoʻllaniladigan sud-tibbiyot dasturlari yordamida buzilgan. E'lonlar taxtasida Anon-IB, bir nechta mashhur fotosuratlar paydo bo'lgan joyda, ba'zi a'zolar nomidan dasturiy ta'minotdan foydalanishni ochiq muhokama qilishdi ElcomSoft telefon parolini buzuvchi. Bu iPhone va iPad-dan to'liq zaxira fayllarni olish uchun olingan foydalanuvchi nomlari va parollarni kiritish imkonini beradi. Wired bilan suhbatlashgan xavfsizlik bo'yicha mutaxassisning so'zlariga ko'ra, fotosuratlardagi metama'lumotlar ushbu dasturiy ta'minotdan foydalanishga mos keladi.
Xakerlar faqat foydalanuvchi nomlari (Apple ID) va parollarni olishlari kerak edi, ehtimol ular dastur yordamida yuqorida aytib o'tilgan usul tufayli erishgan. iBrute tajovuzkorlarga urinishlar soni bo'yicha cheklovsiz parolni taxmin qilish imkonini beruvchi "Find My iPhone" zaifligi bilan birga. Apple zaiflik aniqlanganidan keyin uni tuzatdi. Xakerlik hujumi qurbonlari telefonga yuborilgan kodni kiritish talab qilinadigan ikki bosqichli tekshiruvdan foydalanmagani ham katta rol o‘ynadi. Shuni ta'kidlash kerakki, ikki bosqichli tekshirish iCloud zaxira nusxasi va Photo Stream xizmatlariga taalluqli emas, ammo ular birinchi navbatda foydalanuvchi nomi parollarini olishni ancha qiyinlashtiradi.
Biroq, ikki bosqichli tekshirish bilan ham, iCloud ideal darajada himoyalanmagan. Server Maykl Rouz tomonidan aniqlanganidek TUAW, Photo Stream, Safari zaxira nusxasi va elektron pochta xabarlarini yangi Apple kompyuteriga sinxronlashda foydalanuvchiga yangi kompyuterdan ma'lumotlarga kirish haqida hech qanday ogohlantirish yo'q. Faqatgina Apple ID va parolni bilgan holda, foydalanuvchi bilmagan holda aytib o'tilgan tarkibni yuklab olish mumkin edi. Ko'rib turganingizdek, foydalanuvchi ikki bosqichli tekshirish bilan himoyalangan bo'lsa ham, Apple bulut xizmatlarida hali ham ba'zi yoriqlar mavjud, aytmoqchi, bu, masalan, Chexiya yoki Slovakiyada mavjud emas. Negaki, bu ishdan keyin Apple aksiyalari to‘rt foizga tushib ketdi.
Telefonida aqldan ozgancha oddiy parol va porno suratga ega bo'lgan bir nechta mashhurlar qanday qilib yirik kompaniya aksiyalarini ko'chirishiga ishonmaysiz :)
Ularning ajralmas qismi foydalanuvchilar o'z ma'lumotlarini va maxfiyligini yo'qotganligi sababli, bu holda aktsiyalarning tushishi mutlaqo normaldir. Hech bo'lmaganda bu xavfsizlikka e'tibor berishni o'rganmoqda va biz foydalanuvchilar hech bo'lmaganda yaxshi bo'lib ko'rinamiz ;-).
Shunday qilib, parollar iBrute dasturi yordamida sindirildi, bu lug'atga ko'ra barcha tez-tez ishlatiladigan parollarni sinab ko'rish uchun sinov/xato usulidan foydalanadi. Zaif tomoni shundaki, qurbonlar lug'at yoki zaif parolga ega edi va Apple bu usulni bloklamadi (masalan, bir daqiqada muvaffaqiyatsiz urinishlar sonini cheklash orqali) Telefonimni toping (endi tuzatilgan). Parollarga ega bo'lgach, ular xohlagan narsani qilishlari mumkin edi. Ammo xuddi shu Apple ID-ga ega bo'lgan boshqa qurilmaning ro'yxatdan o'tganligi haqidagi ma'lumotlarni oshkor qilmaslik uchun ular EPPB dasturi yordamida iCloud-dan iPhone-ning to'liq zaxira nusxasini yuklab olishdi va ushbu dastur yordamida zaxiradan fotosuratlarni olishdi. Xulosa - yaxshi parol shunchaki shart.
Bu ham pullik harakat bo'lsa, hayron bo'lmayman. super yangi narsalarni joriy etishdan bir necha kun oldin Apple gigantiga iloji boricha ko'proq kirni tashlash. Bu, shuningdek, qanday bo'lishi mumkin bo'lgan stsenariylardan biridir. Biror kishining bugungi kunda qimmatli qog'ozlar haqida hayajonga tushishi uchun siz qilishingiz kerak bo'lgan narsa uning qanchalik sezgir ekanligini tushunishdir. Ammo kim eng zo'r bo'lsa, har doim o'zini aylantiradi, u o'zgarmaydi.
Ularning ajralmas qismi foydalanuvchilar o'z ma'lumotlarini va maxfiyligini yo'qotganligi sababli, bu holda aktsiyalarning tushishi mutlaqo normaldir. Hech bo'lmaganda bu xavfsizlikka e'tibor berishni o'rganmoqda va biz foydalanuvchilar hech bo'lmaganda yaxshi bo'lib ko'rinamiz ;-).
Albatta, Apple hech qachon hech narsa uchun to'lamaydi. Har qanday holatda ham kengashni himoya qilishni bas qiling. Bu allaqachon uyatli. Ular shunchaki baham ko'rishdi
Bugun men "checkauth@apple.com" manzilidan xat oldim. U xuddi Apple’ga o‘xshaydi va u mening hisobimdan hatto foydalanmayotgan dastur yuklab olinganini aytadi. Parolimni o'zgartirmoqchi bo'lganimda, u meni Apple.com kabi ko'rinadigan sahifaga yo'naltirdi, ammo URL manzili aniq boshqacha.