注目を浴びているiCloudの写真とセキュリティ

Andrew Dancy

By Andrew Dancy

Published

更新しました

See how I'm qualified to write this article

あなたが過去数日間岩石の下で暮らしていたのでなければ(この場合、あなたはまっすぐここに来ることに良い決断をしました)、あなたは間違いなく百以上の有名人からのたくさんのプライベート写真の出版について聞いたことがあるでしょう。

このプライバシーの侵害は、iCloudに関連したものですが、それだけではありません。これらの写真は多くの情報源からしばらくの間収集されてきたことが明らかにされています。そのような違反は大規模な懲役刑につながる傾向があり、間違いなくここで起こることは間違いありませんが、私は多くの人がiCloudからどれだけのデータが盗まれたかを過小評価していると思います。

Sign in to iCloud
iCloudにサインインする

iCloudにはどのようなデータがありますか?

ここで再インキュベートする 、私たちは人々に彼らのデータへのアクセスを提供するのが好きです。自分自身でデータを失った後、それを取り戻すことがどれほどの意味を持つのかを知っています。ここ数週間で、私たちはあなたのiCloudデータをプルダウンしてパースするためのAPIを構築し立ち上げています(あなたの会社がこの種のサービスを利用する可能性があるなら、 チャットしましょう )。あなたのデータだけでなく、Apple-IDとパスワードの組み合わせを知ることで達成できることだけではありません。

あなたの資格情報とiCloud機能を備えたiPhone Backup Extractorを使えば、あなたはiPadやiPhoneの写真を抽出することができます(私たち全員が知っているように)が、SMSデータ、連絡先、アプリ固有の情報もすべて抽出できます(WhatsAppなど) )ほんの数名に!さらに、バックアップに保存されていない他のiCloud機能、たとえばiPhoneの場所を追跡したり、iCloud内に保存したファイル(ドキュメント、カレンダー、ブックマークなど)をダウンロードしたりすることもできます。ハンディ!

あなたがあなたの携帯電話をなくして、それらの赤ちゃんの写真、そのビジネスコンタクトまたはふわふわのそのビデオを保存することができるとき、これは絶対に素晴らしいです。この情報が悪意のある第三者の手に渡る場合も同様にそれほど素晴らしいことではありません。

iPhone Backup Extractor iCloud data access
iPhone Backup Extractor iCloudデータアクセス

データはどのように漏洩しましたか?

上記のように、このデータにアクセスするにはApple-IDとユーザー名の組み合わせが必要です。他に方法はありません。 (もちろん、世界トップクラスの暗号技術者のチームが暗号化の主要な標準を破るために新しい数学を実行するチームを持っていなければなりませんが、そうするともっと良いことができるはずです)。ユーザーのApple-IDを見つけるのは、大多数の人にとって簡単なことではありませんが、これは単なるEメールアドレスであり、オンラインでのプレゼンスによっては、Eメールを隠すのが難しい場合があります。多くの人が異なるサービスに異なるパスワードを使用するでしょうが(私たちはあなたがそうすべきですが)私たちはめったに異なるEメールアドレスを使用しないので、あるサービスに使用されるEメールアドレスを発見してもそれは他人には正しいと推測するにはあまりに知的な飛躍ではありません。 。

そのため、推測またはリセットできるパスワードが残ります。パスワードをリセットするには、電子メールアカウントにアクセスするか、設定したさまざまな秘密の質問に関する知識が必要です。ただし、この情報を入手するのは困難な場合があります。その一方で、アカウント所有者についての知識は文字通り必要ありません。セキュリティに真剣に取り組んでいる企業にとっての当然の対応は、推測を困難にすることです。 Appleアカウントをお持ちの場合、パスワードを使用可能と見なすために満たすべき無数のルールを覚えているかもしれません。これは攻撃者にとって物事をより困難にするために使用される最初の手法です。自分のパスワードを123456設定した未経験のユーザー、または永遠の自己changemeないchangemeおかげで、アクセスは許可されなくなります。

「大丈夫、私たちは強力な(ish)パスワードを持っています。今何ですか?」

まあ、問題の2番目の部分は何度も推測しています。この場合、いくつかの良い方法があります。 1つは、何千回ものハッシュ反復を実行するか、「低速」アルゴリズムを使用することによって手順を遅くすることです( これは、 この種のことに詳しいのであれば、より詳細に説明している素晴らしい記事です)。これにより、1秒間に実行できる試行回数が減りますが、より多くの試行を行うことができ、ほとんどの場合はそうなっています。アカウントの総当たり攻撃を単純に完了できないようにするために、複数の安全対策が講じられています。

実装できるテクニックはいろいろあります(たとえば、疑わしい活動が見つかった場合はログイン試行を監視したりアカウントを無効にしたりできます)が、この場合の問題は追加の APIを持たないログインAPIがあったことです。 保護 。攻撃者は、 Find My iPhone APIが任意の数のパスワード試行を許可することを発見しました。つまり、それらのうちの1つがうまく機能することを期待して、単に使用されるパスワードのリストを試すだけでした。

それでおしまい。それはとても簡単でした。

しかし、その欠陥が明らかになるとすぐに、Appleは時間厳守でそれにパッチを当てた。アップルは、第三者によるユーザデータへの不正アクセスを防止するために多くの予防策を講じていますが、アップルのiCloudや他のアプリやサービスを使ってデータを保護することはあなた自身の責任です。

About the author

Andrew Dancy co-founded Reincubate in 2008 and pioneered techniques with recovery of location data from iOS. He sits on the company's board, with a law-tech background and a particular interest in privacy and security.

Reincubate's CEO at Buckingham Palace

Pictured above are members of Reincubate’s team meeting HM Queen Elizabeth Ⅱ at Buckingham Palace, after being awarded the UK’s highest business award for our work with Apple technology. Read our position on privacy, safety and security.

Can we improve this article?

We love hearing from users: why not drop us an email, leave a comment, or tweet @reincubate?

© 2008 - 2019 Reincubate Ltd. 無断複写・転載を禁じます。 Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. プライバシーと利用規約. マルチファクタ認証をお勧めします。 ロンドンで愛と建てられた。