iCloud-Fotos und Sicherheit im Rampenlicht
Wenn Sie in den letzten Tagen nicht unter einem Felsen gelebt haben (in diesem Fall haben Sie eine gute Entscheidung getroffen, direkt hierher zu kommen), haben Sie zweifellos von der Veröffentlichung vieler privater Fotos von über hundert verschiedenen Prominenten gehört .
Diese Verletzung der Privatsphäre ist an iCloud gebunden, aber es ist nicht völlig schuld. Es wurde deutlich, dass diese Fotos seit einiger Zeit aus zahlreichen Quellen gesammelt wurden . Ein solcher Verstoß führt tendenziell zu hohen Gefängnisstrafen, und zweifellos wird dasselbe auch hier vorkommen, aber ich denke, viele Leute unterschätzen, wie viele Daten von iCloud gestohlen wurden.
Welche Daten enthält iCloud?
Wir bei Reincubate lieben es, Menschen Zugang zu ihren Daten zu gewähren. Nachdem wir selbst Daten verloren haben, wissen wir, wie viel es bedeutet, sie zurückzugewinnen. In den letzten Wochen haben wir eine API entwickelt und gestartet, mit der Sie Ihre iCloud-Daten herunterziehen und analysieren können (falls Ihr Unternehmen diese Art von Service nutzen könnte, lassen Sie uns chatten ). So wissen wir ein paar Dinge über die hervorragende Sicherheit, die Sie schützt Ihre Daten sowie genau das, was durch Kenntnis der Kombination aus Apple-ID und Kennwort erreicht werden kann.
Mit Ihren Anmeldeinformationen und dem iPhone Backup Extractor mit iCloud - Funktion können Sie Ihre iPad - oder iPhone - Fotos extrahieren (wie wir alle jetzt sehr genau wissen), aber Sie können auch alle Ihre SMS - Daten, Kontakte, appenspezifischen Informationen (WhatsApp etc ) um nur einige zu nennen! Darüber hinaus haben Sie Zugriff auf andere iCloud-Funktionen, die nicht in der Sicherung gespeichert sind, z. B. die Ortung Ihres iPhones oder das Herunterladen der Dateien, die Sie in der iCloud gespeichert haben, z. B. Dokumente, Kalender, Lesezeichen und mehr. Praktisch!
Dies ist absolut fantastisch, wenn Sie Ihr Telefon verloren haben und diese Babybilder, diesen Geschäftskontakt oder das Video von Flauschig speichern können. Auch nicht so fantastisch, wenn diese Informationen in den Händen eines böswilligen Drittanbieters sind.
Wie sind die Daten durchgesickert?
Wie oben erwähnt, benötigen Sie die Apple-ID / Benutzername-Kombination, um auf diese Daten zuzugreifen. Es gibt keinen anderen Weg dahin. (Es sei denn, Sie haben natürlich ein Team von Weltklasse-Kryptographen, die eine neuartige Mathematik ausführen, um den führenden Standard in der Verschlüsselung zu durchbrechen, aber dann haben Sie höchstwahrscheinlich bessere Dinge zu tun). Die Apple-ID eines Benutzers zu finden, ist für die große Mehrheit der Benutzer nicht einfach. Denken Sie jedoch daran, dass dies nur eine E-Mail-Adresse ist. Abhängig von Ihrer Online-Präsenz kann das Verbergen Ihrer E-Mail schwierig sein. Während viele Leute unterschiedliche Passwörter für verschiedene Dienste verwenden (was Sie auch sollten), verwenden wir selten eine andere E-Mail-Adresse. Wenn Sie also herausgefunden haben, dass eine E-Mail-Adresse für einen Dienst verwendet wird, ist es kein allzu großer intellektueller Schritt, wenn Sie davon ausgehen, dass dies für andere gilt .
So bleibt uns das Passwort, das erraten oder zurückgesetzt werden kann. Das Zurücksetzen des Passworts erfordert entweder Zugriff auf das E-Mail-Konto oder das Wissen über die verschiedenen geheimen Fragen, die Sie eingestellt haben. Diese Informationen können jedoch nur schwer zugänglich sein. Das Erraten erfordert jedoch buchstäblich keine Kenntnis des Kontoinhabers! Die natürliche Antwort für jedes Unternehmen, das sich ernsthaft mit Sicherheit befasst, ist es, das Erraten schwer zu machen. Wenn Sie über ein Apple-Konto verfügen, erinnern Sie sich möglicherweise an die unzähligen Regeln, die Ihr Passwort erfüllen musste, um als brauchbar zu gelten. Dies ist die erste Technik, die einem Angreifer die Sache erschwert. Der naive Benutzer, der sein Passwort als 123456
einstellt, oder der sich für immer selbst nicht erfüllende changeme
wird keinen Zugriff mehr gewähren.
"OK, großartig, wir haben starke (ish) Passwörter, was jetzt?"
Nun, der zweite Teil des Problems rät viele Male. In diesem Fall gibt es einige schöne Ansätze. Eine davon ist das Verfahren langsam entweder durch Ausführen vieler Tausende von Hash - Iterationen zu machen oder durch einen „langsamen“ Algorithmus ( dies ist ein schöner Artikel darüber zu sprechen in mehr Tiefe, wissen Sie, wenn Sie in diese Art der Sache sind). Dies reduziert zwar die Anzahl der Versuche, die pro Sekunde ausgeführt werden können, es können jedoch mehr getan werden, was in den meisten Fällen der Fall ist. Wir verfügen über mehrere Sicherheitsvorkehrungen, um sicherzustellen, dass das Brute Forcen von Konten nicht einfach abgeschlossen werden kann.
Es gibt verschiedene Techniken, die implementiert werden können (Anmeldeversuche können überwacht und Konten deaktiviert werden, wenn beispielsweise verdächtige Aktivitäten gefunden werden). In diesem Fall bestand jedoch das Problem, dass es eine Anmelde-API gab, die über keine zusätzlichen verfügt Schutz . Angreifer stellten fest, dass die Find My iPhone-API eine beliebige Anzahl von Kennwortversuchen zulässt, was bedeutet, dass sie lediglich eine Liste häufig verwendeter Kennwörter ausprobieren mussten, in der Hoffnung, dass eines davon funktioniert.
Das ist es. So einfach war es.
Aber nicht mehr, sobald der Fehler entdeckt wurde, hat Apple ihn pünktlich gepatcht. Apple trifft eine Reihe von Vorsichtsmaßnahmen, um den unbefugten Zugriff Dritter auf Benutzerdaten zu verhindern. Es liegt jedoch in Ihrer eigenen Pflicht, Ihre Daten zu schützen, sei es mit Apples iCloud oder anderen Apps und Diensten.