주목받는 iCloud 사진 및 보안
지난 며칠 동안 바위 밑에서 살고 있지 않다면 (이 경우 곧바로 여기에서 좋은 결정을 내렸을 것입니다.) 백 명이 넘는 유명인의 많은 개인 사진을 게시 한 것에 대해 들어 보셨을 것입니다. .
이러한 사생활 침해는 iCloud와 관련이 있지만 전적으로 책임이있는 것은 아닙니다. 이 사진들이 많은 출처에서 얼마 동안 모아 졌음이 분명해졌습니다. 그러한 위반 은 대규모 징역형을 선고하는 경향이 있으며 의심의 여지가없는 것은 사실이지만, 많은 사람들이 iCloud의 데이터가 얼마나 도난당한지를 과소 평가하고 있다고 생각합니다.
iCloud는 어떤 데이터를 보유합니까?
Reincubate 에서는 사람들에게 데이터에 대한 액세스 권한을 부여합니다. 데이터 손실을 겪은 후에 우리는 그것을 되 찾을 수 있다는 것을 얼마나 많이 알고 있습니다. 최근 몇 주 동안 iCloud 데이터를 가져 와서 구문 분석하는 API를 구축하고 출시했습니다 (회사에서 이러한 종류의 서비스를 사용 하고 채팅 할 수있는 경우). 따라서 우수한 보안에 대해 알게되었습니다. 데이터뿐만 아니라 Apple-ID 및 암호 조합을 알면 얻을 수있는 것입니다.
iCloud 기능을 갖춘 귀하의 자격 증명과 iPhone Backup Extractor를 사용 하면 iPad 또는 iPhone 사진을 추출 할 수 있지만 모든 SMS 데이터, 연락처, 응용 프로그램 관련 정보 (WhatsApp 등)를 추출 할 수도 있습니다. ) 단지 몇 가지 이름을! 또한 백업 내에 저장되지 않은 다른 iCloud 기능 (예 : iPhone의 위치 추적 또는 iCloud에 저장 한 파일, 문서, 캘린더, 북마크 등)에 액세스 할 수 있습니다. 능숙한!
이는 휴대 전화를 분실했을 때 절대적으로 환상적이며 아기 사진, 비즈니스 연락처 또는 푹신 푹신한 동영상을 저장할 수 있습니다. 이 정보가 악의적 인 제 3 자의 손에 넘어갈 때도 그렇게 환상적이지는 않습니다.
데이터가 어떻게 유출 되었습니까?
위에서 언급 한 바와 같이,이 데이터에 액세스하기 위해 애플 ID / 사용자 이름 조합이 필요합니다. 주위에는 다른 방법이 없습니다. (물론 세계 정상급 암호 작성자 팀이 소설 수학을 수행하여 암호화의 주요 표준을 깨뜨린 것이 아니라면 더 나은 일을 할 수있을 것입니다.) 대다수의 사람들이 Apple-ID를 찾는 것은 쉽지 않지만 전자 메일 주소 일 뿐이며 온라인 상태에 따라 전자 메일을 숨기는 것이 어려울 수 있습니다. 많은 사람들이 다른 서비스에 대해 다른 비밀번호를 사용하기는하지만 다른 이메일 주소를 사용하는 경우는 거의 없으므로 하나의 서비스에 사용 된 이메일 주소를 찾으면 너무 뛰어나지 않아서 다른 사람에게 맞을 것입니다. .
그러면 암호를 추측하거나 재설정 할 수 있습니다. 암호를 재설정하려면 이메일 계정에 액세스하거나 사용자가 설정 한 다양한 비밀 질문에 대한 지식이 필요합니다. 그러나이 정보는 오기가 어려울 수 있습니다. 추측은 말 그대로 계정 소유자에 대한 지식이 필요 없습니다! 보안에 대해 진지한 회사의 자연스러운 반응은 추측을 어렵게 만드는 것입니다. Apple 계정을 가지고 있다면 암호가 사용 가능한 것으로 간주하기 위해 충족해야하는 무수히 많은 규칙을 기억할 수 있습니다. 이는 공격자가 더 어렵게 만드는 첫 번째 기술입니다. 암호를 123456
으로 설정하는 순진한 사용자 또는 영원히 자기 충족하지 못하는 changeme
덕분에 더 이상 액세스 권한이 부여되지 않습니다.
"좋습니다. 우리는 강력한 암호를 가지고 있습니다.
음, 문제의 두 번째 부분은 많은 시간을 추측합니다. 이 경우에는 몇 가지 좋은 접근 방법이 있습니다. 하나는 수천 개의 해시 반복을 수행하거나 "느린"알고리즘을 사용하여 프로 시저를 느리게 만드는 것입니다 ( 이 기사는 이 기사에 대해 더 자세히 이야기합니다. 이렇게하면 초당 시도 할 수있는 횟수가 줄어들지 만 더 많은 작업을 수행 할 수 있으며 대다수의 경우 시도가 가능합니다. 우리는 계정의 무차별 강제력을 단순히 완료 할 수 없도록 여러 가지 안전 장치를 갖추고 있습니다.
구현할 수있는 다양한 기법이 있습니다 (예 : 의심스러운 활동이 발견되면 로그인 시도를 모니터링하고 계정을 사용 중지 할 수 있습니다).이 경우 문제는 추가 API 가없는 로그인 API가 있다는 것입니다 보호 . 공격자는 My iPhone API 찾기가 여러 번의 암호 시도를 허용한다는 것을 알았습니다. 즉, 일반적으로 사용되는 암호 목록을 사용해보아야하며 그 중 하나가 작동하기를 바랍니다.
그게 전부 야. 그렇게 쉬웠다.
그러나 더 이상은 아니지만, 결함이 밝혀 지 자마자 애플은 어김없이 그것을 패치했다. Apple은 제 3 자에 의한 사용자 데이터에 대한 무단 액세스를 방지하기 위해 여러 가지 예방 조치를 취하고 있지만 Apple의 iCloud 또는 기타 응용 프로그램 및 서비스와 마찬가지로 귀하의 데이터도 보호해야 할 의무가 있습니다.