Фотографии iCloud и безопасность в центре внимания

Если вы не жили в скале в течение последних нескольких дней (в этом случае вы приняли правильное решение приехать прямо сюда), вы, несомненно, слышали о публикации множества частных фотографий более ста различных знаменитостей. ,

Это нарушение конфиденциальности является тем, что связано с iCloud, но не совсем в этом виноват. Стало очевидным, что эти фотографии были собраны в течение некоторого времени из многочисленных источников. Такое нарушение ведет к большим тюремным срокам, и, несомненно, то же самое произойдет и здесь, но я думаю, что многие люди недооценивают, сколько данных из iCloud было украдено.

Какие данные хранит iCloud?

Здесь, в Reincubate , мы любим предоставлять людям доступ к их данным. После того, как мы сами потерпели потерю данных, мы знаем, как много это значит вернуть. В последние недели мы разрабатываем и запускаем API для разборки и анализа ваших данных iCloud (если ваша компания может использовать этот вид услуг, давайте поговорим ), поэтому мы знаем кое-что о превосходной безопасности, которая защищает ваши данные, а также то, что можно достичь, зная комбинацию Apple-ID и пароля.

Имея свои учетные данные в руке и iPhone Backup Extractor с функциональностью iCloud , вы можете извлекать свои фотографии iPad или iPhone (как мы все сейчас очень хорошо знаем), но вы также можете извлекать все свои данные SMS, контакты, информацию о приложении (WhatsApp и т. Д. ) чтобы назвать только несколько! Кроме того, у вас будет доступ к другим функциям iCloud, которые не хранятся в резервной копии, например, к отслеживанию местоположения вашего iPhone или загрузке файлов, сохраненных в iCloud, таких как документы, календарь, закладки и многое другое. Handy!

Это просто фантастика, когда вы потеряли свой телефон и можете сохранить эти детские фотографии, деловой контакт или пушистое видео. Хотя в равной степени не так фантастично, когда эта информация находится в руках злоумышленника третьей стороны.

Как произошла утечка данных?

Как упоминалось выше, вам нужна комбинация Apple-ID / имя пользователя для доступа к этим данным. Другого пути нет. (Если, конечно, у вас есть команда криптографов мирового класса, выполняющих новую математику, чтобы сломать ведущий стандарт в шифровании, но тогда у вас, скорее всего, будут дела поважнее). Найти Apple-ID пользователя нелегко для подавляющего большинства людей, но помните, что это всего лишь адрес электронной почты, и в зависимости от вашего присутствия в сети сокрытие вашей электронной почты может быть затруднено. В то время как многие люди используют разные пароли для разных сервисов (и вы должны это делать), мы редко используем разные адреса электронной почты, поэтому обнаружение адреса электронной почты, используемого для одной услуги, не слишком большой интеллектуальный скачок, чтобы предположить, что он будет правильным для других. ,

Таким образом, мы остаемся с паролем, который можно угадать или сбросить. Сброс пароля требует либо доступа к учетной записи электронной почты, либо знания различных секретных вопросов, которые вы задали - однако эту информацию может быть сложно получить. С другой стороны, угадывание буквально не требует знания владельца аккаунта! Естественный ответ для любой компании, которая серьезно относится к безопасности, состоит в том, чтобы усложнить догадки. Если у вас есть учетная запись Apple, вы можете помнить множество правил, которым должен был соответствовать ваш пароль, чтобы его можно было использовать, что является первой техникой, используемой для усложнения атакующего. Доступ больше не будет предоставлен благодаря наивному пользователю, который устанавливает свой пароль как 123456 , или вечно самонадеянному changeme .

"Хорошо, у нас есть надежные пароли, теперь что?"

Что ж, вторая часть проблемы - много раз. В этом случае есть несколько хороших подходов. Один из них - сделать процедуру медленной, выполнив много тысяч итераций хеш-функции или используя «медленный» алгоритм ( это хорошая статья, рассказывающая об этом более подробно, вы знаете, если вы занимаетесь этим). Хотя это уменьшает количество попыток, которые можно сделать в секунду, можно сделать больше, и в большинстве случаев это так. У нас есть несколько мер безопасности, чтобы гарантировать, что грубое форсирование счетов просто не может быть завершено.

Существуют различные методы, которые могут быть реализованы (попытки входа в систему можно отслеживать и учетные записи отключать, если, например, обнаружена подозрительная активность), но проблема в этом случае заключалась в том, что существовал API входа в систему, который не имел никаких дополнительных защита . Злоумышленники обнаружили, что API Find My iPhone позволяет использовать любое количество попыток ввода пароля, а это означает, что им просто нужно попробовать список наиболее часто используемых паролей, надеясь, что один из них сработает.

Вот и все. Это было так просто.

Но не больше, как только Apple обнаружил ошибку, исправил ее. Apple принимает ряд мер предосторожности, чтобы предотвратить несанкционированный доступ к данным пользователя третьим лицам, но вы также обязаны защищать свои данные, будь то с помощью Apple iCloud или других приложений и сервисов.