iCloud foto e sicurezza sotto i riflettori
A meno che tu non abbia vissuto sotto una roccia negli ultimi giorni (nel qual caso hai preso una buona decisione arrivando direttamente qui), avrai senza dubbio sentito parlare della pubblicazione di molte foto private di oltre cento celebrità diverse .
Questa violazione della privacy è qualcosa che è stato legato a iCloud, ma non è completamente da incolpare. È stato reso evidente che queste foto sono state raccolte da tempo da numerose fonti. Una tale violazione tende a portare a grandi pene detentive e senza dubbio lo stesso accadrà qui, ma penso che molte persone stiano sottovalutando la quantità di dati rubati da iCloud.
Quali dati contiene iCloud?
Qui a Reincubate , ci piace dare alle persone l'accesso ai propri dati. Dopo aver subito noi stessi la perdita dei dati, sappiamo quanto significhi recuperarlo. Nelle scorse settimane abbiamo creato e lanciato un'API per scovare e analizzare i dati di iCloud (se la tua azienda potrebbe essere utile per questo tipo di servizio, chattiamo ) quindi sappiamo una cosa o due sull'eccellente sicurezza che protegge i tuoi dati, oltre a quello che puoi ottenere conoscendo la combinazione ID-ID e password.
Con le tue credenziali in mano e iPhone Backup Extractor con funzionalità iCloud , puoi estrarre le tue foto iPad o iPhone (come ormai tutti sappiamo bene), ma puoi anche estrarre tutti i tuoi dati SMS, contatti, informazioni specifiche per app (WhatsApp ecc. ) per nominarne solo alcuni! Inoltre, avrai accesso ad altre funzionalità di iCloud che non sono archiviate nel backup, ad esempio il rilevamento della posizione del tuo iPhone o il download dei file archiviati in iCloud, come documenti, calendario, segnalibri e altro. Maneggevole!
Questo è assolutamente fantastico quando hai perso il telefono e sei in grado di salvare quelle foto del bambino, quel contatto commerciale o quel video di birichino. Mentre altrettanto non è fantastico quando questa informazione è nelle mani di un malintenzionato di terze parti.
Come sono stati dati i dati?
Come accennato in precedenza, è necessaria la combinazione ID-ID / nome utente per accedere a questi dati. Non c'è altro modo per aggirarlo. (A meno che tu non abbia una squadra di crittografi di livello mondiale che eseguono romanzi nuovi per infrangere lo standard leader nella crittografia, ma probabilmente avresti cose migliori da fare). Trovare l'Apple-ID di un utente non è facile per la stragrande maggioranza delle persone, ma ricorda che questo è solo un indirizzo e-mail e, a seconda della tua presenza online, nascondere la tua posta elettronica può essere difficile. Mentre molte persone usano password diverse per servizi diversi (come dovresti), raramente usiamo un indirizzo email diverso, quindi avendo scoperto un indirizzo email usato per un servizio non è un salto intellettuale troppo grande per presumere che sia corretto per gli altri .
Quindi siamo rimasti con la password che può essere indovinata o resettata. La reimpostazione della password richiede l'accesso all'account e-mail o la conoscenza delle varie domande segrete che hai impostato, tuttavia questa informazione può essere difficile da trovare. Indovinare d'altra parte non richiede letteralmente alcuna conoscenza del proprietario dell'account! La risposta naturale per qualsiasi azienda seriamente preoccupata per la sicurezza, quindi, è rendere le ipotesi difficili. Se hai un account Apple puoi ricordare la miriade di regole che la tua password doveva soddisfare per essere considerata utilizzabile, che è la prima tecnica utilizzata per rendere le cose più difficili per un utente malintenzionato. Non più accederanno concesso grazie per l'utente ingenuo che mette la propria password come 123456
, o per sempre auto-inadempiente changeme
.
"OK, abbiamo delle password forti (ish), e adesso?"
Bene, la seconda parte del problema è indovinare un sacco di volte. In questo caso, ci sono un paio di buoni approcci. Uno è rendere la procedura lenta eseguendo molte migliaia di iterazioni di hash o usando un algoritmo "lento" ( questo è un bell'articolo che ne parla in modo più approfondito, sapete, se vi trovate in quel tipo di cose). Mentre questo riduce il numero di tentativi che possono essere fatti al secondo, si può fare di più e nella maggior parte dei casi lo è. Abbiamo diverse misure di sicurezza per garantire che la forzatura bruta degli account non possa essere completata.
Esistono varie tecniche che possono essere implementate (i tentativi di accesso possono essere monitorati e gli account disabilitati se viene rilevata un'attività sospetta, ad esempio), ma il problema in questo caso era che esisteva un'API di accesso che non aveva ulteriori protezione . Gli hacker hanno scoperto che l' API Find My iPhone avrebbe consentito un numero qualsiasi di tentativi di password, il che significava che dovevano semplicemente provare un elenco di password di uso comune, sperando che uno di loro funzionasse.
Questo è tutto. E 'stato così facile.
Ma non più, non appena la falla è stata rivelata, Apple ha puntualmente rattoppato. Apple prende una serie di precauzioni per impedire l'accesso non autorizzato ai dati dell'utente da parte di terzi, ma è anche nei tuoi doveri proteggere i tuoi dati, sia con iCloud di Apple che con altre app e servizi.