Apple- ը նախազգուշացրեց iCloud կոպիտ ուժի խոցելիության մասին Celebgate- ից 6 ամիս առաջ

Apple- ը նախազգուշացրեց iCloud կոպիտ ուժի խոցելիության մասին Celebgate- ից 6 ամիս առաջ

Apple- ը դեռ 2014-ի մարտին գիտեր անվտանգության անցքի մասին, որը iCloud- ի օգտագործողների անձնական տվյալները խոցելի էր թողնում, համաձայն ընկերության և հայտնի անվտանգության հետազոտողի էլեկտրոնային փոստի տվյալների:



Այս ամսվա սկզբին Daily Dot- ի կողմից ստացված և անվտանգության բազմաթիվ փորձագետների կողմից դիտարկված էլ-նամակները ցույց են տալիս Իբրահիմ Բալիչ | , Լոնդոնում տեղակայված ծրագրակազմի մշակող, Apple- ին տեղեկացնելով iCloud հաշիվներ ներթափանցելու համար հայտնաբերած մեթոդի մասին:

Apple- ի անվտանգության ուժը քննադատվեց այս ամսվա սկզբին այն բանից հետո, երբ հայտնի մարդկանց հարյուրավոր մերկ լուսանկարներ, որոնք իբր գողացվել էին iCloud սերվերներից, հեղեղեցին ինտերնետը: Չնայած շահագործող Balic- ը ասում է, որ Apple- ին զեկուցել է Apple- ի բաժնետոմսերին, որը, կարծես, օգտագործվել է այսպես կոչված «Celebgate» հակերում օգտագործված շահագործման հետ, ներկայումս անհասկանալի է, արդյոք դրանք նույն խոցելիությունն են:



Մարտի 26-ի էլ. Փոստով Բալիչը Apple- ի պաշտոնյային ասում է, որ ինքը հաջողությամբ շրջանցեց անվտանգության առանձնահատկությունը, որը նախատեսված է & ldquo; կոպիտ ուժի & rdquo; կանխարգելման համար: հարձակումներ - հակերների կողմից գաղտնաբառերը կոտրելու համար օգտագործվող մեթոդ `սպառիչ փորձելով հազարավոր ստեղնաշարային զուգորդումներ: Սովորաբար, այս հարձակումը տապալվում է ՝ սահմանափակելով այն դեպքերի քանակը, երբ օգտվողները կարող են փորձել մուտք գործել:

Բալիչը շարունակում է բացատրել Apple- ին, որ ինքը ցանկացած հաշվի վրա կարողացել է փորձել ավելի քան 20,000 գաղտնաբառերի համակցություններ: & ldquo; Կցանկանայի ձեզ տեղեկացնել, որ այն շտկվի, & rdquo; նա գրել է. ( Խմբագրի & rsquo; ծանոթյություններ. Balic & rsquo; ի էլ. Փոստերը գրվել են անգլերենով, ինչը նրա առաջին լեզուն չէ: )

Apple iCloud- ի խախտում 4

Խոշորացնելու համար կտտացրեք



Խոցելիության մասին հաղորդել է նաև Balic- ը `օգտագործելով Apple- ի և rsquo; s- ի սխալների ներկայացման առցանց պլատֆորմը, ինչպես երեւում է հետևյալ նկարում.

Apple iCloud- ի խախտում 3



Խոշորացնելու համար կտտացրեք

2014 թվականի մայիսի 6-ին թվագրված էլ-նամակում հաղորդվում է, որ հաղորդվող խոցելիությունը, անշուշտ, մնում է անուղղելի, քանի որ Apple- ի պաշտոնյան շարունակում է հարցաքննել Բալիչին ՝ իր հայտնագործության մանրամասների վերաբերյալ:

& ldquo; Կարծում եմ `հարցը ամբողջությամբ լուծված չէր: Նրանք անընդհատ խնդրում էին ինձ ավելի շատ իրեր ցույց տալ իրենց, և rdquo; Բալիչը Daily Dot- ին ասել է.

Apple iCloud- ի խախտում 2



Խոշորացնելու համար կտտացրեք

Apple- ի և rsquo; ամպային պահպանման ծառայության անվտանգության անցքը սկզբում մեղադրվում էր Celebgate հակերության մեջ: Հաղորդվում է, որ վնասակար սցենար է տեղադրվել կայքում GitHub անցյալ ամսվա վերջին, ըստ Հաջորդ ոստայնը, որը կարող է օգտագործվել հակերների կողմից iCloud հաշիվները փոխզիջման համար.

& ldquo; ենթադրաբար հայտնաբերված խոցելիությունը Գտեք Իմ iPhone- ը serviceառայությունը կարծես թե թույլ է տվել հարձակվողներին օգտագործել այս մեթոդը ՝ գաղտնաբառերը բազմիցս գուշակելու համար ՝ առանց որևէ տեսակի արգելափակման կամ թիրախին ծանուցելու: Գաղտնաբառը ի վերջո համընկնելուց հետո հարձակվողը կարող է այն օգտագործել `iCloud- ի այլ գործառույթներ ազատորեն մուտք գործելու համար: & rdquo;

Հայտնի է դարձել, որ Celebgate- ի լուսանկարները ոստայնում պայթելուց անմիջապես հետո Apple- ը կարկատել է GitHub- ի գրառման մեջ հայտնաբերված խոցելիությունը: Ընկերությունը հերքեց, սակայն, որ որևէ կերպ կապված է Celebgate միջոցառման հետ: Լուսանկարների գողությունը, ա հայտարարություն Ընկերությունից պնդում էին, որ դա չի հանդիսանում & ldquo; որևէ խափանում Apple- ի ցանկացած համակարգում, ներառյալ iCloud- ը կամ Find my iPhone- ը: & rdquo;

Apple- ը նաև ընդլայնել է երկքայլ հաստատման օգտագործումը `iCloud հաշիվները հետագայում պաշտպանելու համար: Օգտագործողները պետք է անպայման մասնակցեն հավելյալ անվտանգություն կիրառելու համար, որը նրանցից յուրաքանչյուրը մուտք գործելիս պահանջում է մուտքագրել տեքստային հաղորդագրությամբ ուղարկված քառանիշ կոդ:

Գողացված հայտնի մարդկանց լուսանկարները, որոնք, հավանաբար, ձեռք են բերվել նախքան Apple- ը խստացնի իր անվտանգությունը, շարունակում են հայտնվել առցանց , Շաբաթ օրը 4chan կայքում տեղադրվել էին allegedենիֆեր Լոուրենսի, Քիմ Քարդաշյանի և այլոց ենթադրյալ մերկ լուսանկարները: Վերջերս հրապարակված տվյալների համաձայն, ՀԴԲ-ն դեռ հետաքննում է կոտրումը հայտարարություն իրավապահ մարմնից:

Balic & rsquo; s կոպիտ ուժի iCloud հարձակումը խոցելիության նրա առաջին զեկույցը չէ Apple- ին: 2013-ի հունիսին նա հայտնաբերեց անվտանգության թերությունը Apple Developer Center- ում: Ըստ Բալիչի, կայքը գրեթե անմիջապես դադարեցվել է, բայց նա ասում է, որ իր զեկույցը ընկերությունից պատասխան չի ստացել: Մեջ մամլո հաղորդագրությունում Մի քանի օր անց թողարկված Apple- ը նկարագրել է & ldquo; անվտանգության սպառնալիք & rdquo; և պնդեց, որ & ldquo; ներխուժողը փորձել է ապահովել [գրանցված ծրագրավորողների] անձնական տեղեկությունները & rdquo;

Դժգոհ լինելով այն բանից, թե ինչպես է Apple- ը վարվել իր զեկույցից և մտահոգված է, որ իրավապահները հետաքննում են իրենց մեղադրանքները, Բալիչը հանրության առջև դուրս եկավ ՝ մեկնաբանել TechCrunch հոդվածի վրա: Ավելի ուշ նա վերբեռնեց YouTube տեսանյութ , որն, ըստ նրա, պարունակում է իր հայտնագործության ապացույցը:

Apple- ը հետագայում խոստովանեց Balic- ին `իր վրա տեղադրված սցենարների (XSS) խոցելիության մասին տեղեկացնելու համար Վեբ սերվերի ծանուցման էջ ,

Apple iCloud- ը խախտում է էլ


Այս ամսվա սկզբին Apple- ի գործադիր տնօրեն Թիմ Քուքը հայտարարել էր, որ իր ընկերությունը պետք է ավելին աներ ՝ իր հաճախորդներին անվտանգության խնդիրների մասին զգուշացնելու համար:

& ldquo; Երբ ես հետ եմ կանգնում տեղի ունեցած այս սարսափելի սցենարից և ասում, թե ավելին ինչ կարող էինք անել, ես մտածում եմ իրազեկվածության մասին, & rdquo; նա ասաց Wall Street Journal , & ldquo; Կարծում եմ, որ մենք պատասխանատվություն ենք կրում այն ​​խփելու համար: Դա իրականում ինժեներական բան չէ: & rdquo;

Բալիչը համաձայնվեց: & ldquo; Եթե Apple- ը ավելի լուրջ վերաբերվեր այս խնդրին, միգուցե նման խնդիր չառաջանար, & rdquo; նա ասաց.

Apple- ը չի պատասխանել մեկնաբանության բազմաթիվ խնդրանքներին:

Illustrationեյսոն Ռիդի նկարազարդումը