Michal Ždanský Pas disa ditësh hetimi të brendshëm të Apple, kompania lëshoi një deklaratë në lidhje me hakimi i llogarive iCloud të disa të famshëmve, fotot delikate të së cilës rrodhën në publik. Sipas Apple, fotot nuk u zbuluan nga hakimi i shërbimeve iCloud dhe Find My iPhone, pasi mënyra se si hakerët i merrnin fotot, inxhinierët e kompanisë kaliforniane përcaktuan një sulm të synuar ndaj emrave të përdoruesve, fjalëkalimeve dhe pyetjeve të sigurisë. Megjithatë, ata nuk komentuan se si janë marrë fotot iCloud.
Sipas Wired, fjalëkalimet u thyen duke përdorur softuerin mjeko-ligjor të përdorur nga agjencitë qeveritare. Në tabelën e buletinit Ib, ku u shfaqën disa foto të famshëm, disa anëtarë diskutuan hapur duke përdorur softuerin në emër të Ndërprerës i fjalëkalimeve të telefonit ElcomSoft. Kjo ju lejon të futni emrat e përdoruesve dhe fjalëkalimet e marra për të tërhequr të gjithë skedarët rezervë nga iPhone dhe iPad. Sipas një eksperti sigurie të intervistuar nga Wired, meta të dhënat nga fotot përputhen me përdorimin e softuerit të përmendur.
Hakerëve iu desh të merrnin vetëm emrat e përdoruesve (Apple ID) dhe fjalëkalimet, të cilat ndoshta i arritën falë metodës së përmendur më parë duke përdorur programin ibrute së bashku me dobësinë Find My iPhone, e cila i lejoi sulmuesit të merrnin me mend fjalëkalimin pa kufizim në numrin e përpjekjeve. Apple e rregulloi cenueshmërinë menjëherë pasi u zbulua. Një rol të madh ka luajtur edhe fakti që viktimat e sulmit të hakerëve nuk kanë përdorur verifikimin me dy hapa, i cili kërkon futjen e një kodi të dërguar në telefon. Duhet të theksohet se verifikimi me dy hapa nuk zbatohet për shërbimet rezervë iCloud dhe Photo Stream, megjithatë, ato do ta bënin shumë më të vështirë marrjen e fjalëkalimeve të emrave të përdoruesit në radhë të parë.
Sidoqoftë, edhe me verifikimin me dy hapa, iCloud nuk mbrohet në mënyrë ideale. Siç zbuloi Michael Rose nga serveri TUAW, kur sinkronizoni Photo Stream, kopje rezervë Safari dhe mesazhe email me një kompjuter të ri Apple, nuk ka asnjë paralajmërim për përdoruesin që të dhënat janë aksesuar nga kompjuteri i ri. Vetëm me njohjen e Apple ID dhe fjalëkalimin u bë e mundur shkarkimi i përmbajtjes së përmendur pa dijeninë e përdoruesit. Siç mund ta shihni, shërbimet cloud të Apple kanë ende disa çarje, edhe nëse përdoruesi mbrohet nga verifikimi me dy hapa, i cili, nga rruga, ende nuk është i disponueshëm, për shembull, në Republikën Çeke ose Sllovaki. Në fund të fundit, pas kësaj afere, aksionet e Apple ranë me katër për qind.
Nuk do ta besoni sesi disa personazhe të famshëm me një fjalëkalim të thjeshtë dhe foto porno në telefonin e tyre mund të lëvizin aksionet e një kompanie kaq të madhe :)
Ata kanë një pjesë integrale në faktin se përdoruesit kanë humbur të dhënat e tyre dhe jo pak privatësi, ndaj në këtë rast është krejtësisht normale që aksionet të bien. Të paktën po mësohet t'i kushtojmë vëmendje sigurisë dhe ne përdoruesit të paktën do të duket se jemi mirë ;-).
Pra, fjalëkalimet u thyen duke përdorur programin iBrute, i cili përdor një metodë prove/gabim për të provuar të gjitha fjalëkalimet e përdorura shpesh sipas disa fjalorëve. Dobësia ishte se viktimat kishin një fjalor ose fjalëkalim të dobët dhe Apple nuk e bllokoi këtë metodë (p.sh. duke kufizuar numrin e përpjekjeve të dështuara në minutë) në Find My Phone (tani e rregulluar). Pasi kishin fjalëkalimet, ata mund të bënin çfarë të donin. Por, për të mos zbuluar informacione në lidhje me regjistrimin e një pajisjeje tjetër me të njëjtën ID Apple, ata shkarkuan një kopje rezervë të plotë të iPhone nga iCloud duke përdorur programin EPPB dhe nxorrën foto nga rezervimi duke përdorur atë program. Përfundim - një fjalëkalim i mirë është thjesht një domosdoshmëri.
Nuk do të habitesha nëse do të ishte gjithashtu një lëvizje me pagesë. duke hedhur sa më shumë papastërti mbi gjigantin Apple pak ditë para prezantimit të gjërave super të reja. Është gjithashtu një nga skenarët e mundshëm se si mund të ketë qenë. Në mënyrë që një person të emocionohet për aksionet sot, gjithçka që duhet të bëni është të kuptoni se sa i ndjeshëm është. Por ai që është më i miri do të hidhet gjithmonë një rrotullim, nuk do të ndryshojë.
Ata kanë një pjesë integrale në faktin se përdoruesit kanë humbur të dhënat e tyre dhe jo pak privatësi, ndaj në këtë rast është krejtësisht normale që aksionet të bien. Të paktën po mësohet t'i kushtojmë vëmendje sigurisë dhe ne përdoruesit të paktën do të duket se jemi mirë ;-).
Sigurisht, Apple nuk paguan kurrë për asgjë. Mos mbroni këshillin me çdo kusht. Tashmë është e turpshme. Ata thjesht e ndanë atë
Vetëm sot mora një email nga "checkauth@apple.com". Duket tamam si Apple, dhe thotë se një aplikacion që as nuk e përdor është shkarkuar nga llogaria ime. Kur shkova të ndryshoja fjalëkalimin tim, ai më ridrejtoi në një faqe që duket thjesht si Apple.com, por adresa e URL-së është qartësisht e ndryshme.