Tekniikkaa

iCloud Hack: Mitä tapahtui ja miten suojautua

Mitä Elokuvaa Nähdä?
 
iCloud-valokuvat

Lähde: Apple.com

Viikonloppuna lukemattomia alastomia kuvia A-listan julkkisista väitettiin varastaneen iCloud-tileiltä ja jaettu Internetissä. Joten miten joku pääsi pääsemään Applen pilvitallennuspalvelun tileihin, ja mitä voit tehdä omien tiedostojesi suojaamiseksi vastaavalta rikkomukselta?

Wall Street Journal -lehti Daisuke Wakabayashi kertoo, että Apple on aktiivisesti tutkimassa ”Kertoo, että iCloud-haavoittuvuuksia hyödynnettiin useiden julkkisten tilien hakkeroimiseksi. Alastomia valokuvia ja videoita, jotkut aitoja ja jotkut mahdollisesti väärennöksiä, varastettiin julkkisten, mukaan lukien näyttelijä Jennifer Lawrence ja malli Kate Upton, iCloud-tileiltä ja lähetettiin kuvien jakamisyhteisöön 4chan. Sieltä he ovat levinneet Twitteriin, Redditiin, Imguriin ja muihin sivustoihin, joista monet ovat sulkeneet ketjut ja tilit, joihin kuvat on lähetetty.

kuinka paljon mayweather jr on arvoltaan

Applen iCloud avulla käyttäjät voivat tallentaa musiikkia, valokuvia, asiakirjoja ja muita tiedostoja iCloudiin ja käyttää niitä useilla laitteilla. GitHub-viestissä käyttäjä kertoi Applen Find My iPhone -palvelusta löydetyn virheen - iCloud-ominaisuuden, jonka avulla käyttäjät voivat selvittää puuttuvan iPhonen sijainnin - mikä mahdollisti hakkerin tehdä rajattoman määrän arvauksia iCloud-salasanalla kunnes löydät oikean. GitHub-viesti sisälsi myös 'ibrute' -nimisen Python-komentosarjan, jonka avulla käyttäjät pystyivät suorittamaan niin sanottuja 'brute force' -hyökkäyksiä saadakseen pääsyn iCloud-tileihin Find My iPhone -haavoittuvuuden kautta.

Brute-force-hyökkäykset käyttävät komentosarjaa useaan otteeseen tilin salasanasta, ja kun salasana on löydetty, hakkeri voi käyttää sitä muihin iCloud-toimintoihin. Ibrute-työkalu perustuu 500 yleisen salasanan luetteloon (ja riippuu siis iCloud-tilin haltijoista, jotka käyttävät helposti arvattavia salasanoja).

Seuraava verkko raportoi, että Twitter-käyttäjät pystyivät käyttämään työkalua, joka oli julkaistu kaksi päivää ennen jakamista HakkeriUutiset , pääsemään omiin tileihinsä . GitHub-viesti päivitettiin maanantaina sanomalla: 'Hauskan loppu, Apple on juuri paikannut.' Kun testaat työkalua, Seuraava verkko havaitsi, että Apple lukitsi tilin viiden yrityksen jälkeen, mikä tarkoittaa, että Python-komentosarja yritti hyökätä palveluun, mutta Apple on todellakin paikannut haavoittuvuuden.

mitä johnny knox tekee nyt?

Löydä iPhoneni -haavoittuvuus, joka mahdollisti rajattomat arvailut, merkitsee poikkeamista useimpien palveluiden käytännöistä, jotka lukitsevat tilin useiden virheellisten salasanayritysten jälkeen. Henkilökunta Seuraava verkko keskusteli Python-komentosarjan luojan, joka tunnetaan nimellä 'Hackapp', Twitterin kautta. ( Re / koodi raportoi, että venäläiset turvallisuustutkijat ovat luoneet iBrute-konseptin todisteena ja osoitettu tänä kesänä turvallisuuskonferenssissa. Seuraava verkko kysyi, olisiko työkalua voitu käyttää julkkisten tilien hakkerointiin. Hackapp Twitter -tilin takana oleva vastasi: 'En ole vielä nähnyt todisteita, mutta myönnän, että joku voisi käyttää tätä työkalua.'

Vaikka Apple ei ole sanonut mitään julkkisten tilien hakkeroinnista, Securosis-analyytikko ja toimitusjohtaja Rich Mogull kertoi Wall Street Journal että on mahdollista, että hakkerointi ja GitHubissa paljastettu haavoittuvuus liittyivät toisiinsa. Hän sanoo myös, että on paljon todennäköisempää, että hakkerit murtautuivat julkkisten henkilökohtaisiin tileihin sen sijaan, että hakkeroivat iCloud-järjestelmää. Mogull sanoi: 'Olisin järkyttynyt, että Apple itse hakkeroitiin.'

Riippumatta siitä, käytettiinkö iBrute-komentosarjaa vuodossa, turvallisuusyhtiön FireEyen tutkijat kertoivat Re / Code's Arik Hesseldahl että hakkerointi näyttää olevan suoraviivainen hyökkäys olisi voitu estää . Erityisesti hakkerointi olisi voitu estää, jos julkkikset, joihin asia vaikuttaa, olisivat ottaneet iCloud-tileilleen käyttöön kaksivaiheisen todennuksen kutsutun turvaominaisuuden.

Kaksivaiheinen todennus tai 'kaksivaiheinen vahvistus', kuten Apple kutsuu versionsa, vaatii kahta vaihetta tietokoneen tai palvelun käyttöä yrittävän käyttäjän henkilöllisyyden vahvistamiseksi, vaikka käyttäjä tietää tilin salasanan. ICloudin tapauksessa kaksivaiheisen vahvistuksen ottaminen käyttöön edellyttää, että käyttäjä antaa tavallisen salasanan lisäksi käyttäjän puhelimeen tai toiseen laitteeseen lähetetyn numeerisen koodin henkilöllisyyden todentamiseksi. Koska koodi muuttuu jatkuvasti, kaksivaiheisen vahvistuksen käyttöönotto vaikeuttaa hakkereiden pääsyä tilille.

Vaikka Apple 'ei toimi kovin kovasti', kuten Re / koodi Sen on tarkoitus ilmoittaa käyttäjille turvaominaisuuksien, kuten kaksivaiheisen vahvistuksen, saatavuudesta, tukisivuston sivu selittää prosessin ominaisuuden käyttöönotto Apple ID: lle. Ota kaksivaiheinen vahvistus käyttöön seuraavasti:

missä tiimissä skylar diggins on
  1. Mene Oma Apple ID .
  2. Valitse Hallitse Apple ID: täsi ja kirjaudu sisään.
  3. Valitse Salasana ja suojaus.
  4. Valitse Kaksivaiheinen vahvistus -kohdasta Aloita ja seuraa ohjeita.
Applen kaksivaiheinen vahvistus

Lähde: Support.apple.com

Asettaessaan kaksivaiheista vahvistusta käyttäjät rekisteröivät yhden tai useamman laitteen, johon he voivat vastaanottaa nelinumeroisia vahvistuskoodeja tekstiviestien tai Find My iPhone -palvelun kautta. (Apple vaatii käyttäjiä antamaan vähintään yhden tekstiviestillä yhteensopivan puhelinnumeron.) Ominaisuuden käyttöönoton jälkeen käyttäjiä pyydetään vahvistamaan henkilöllisyytensä milloin tahansa, kun he kirjautuvat sisään hallitakseen Apple ID: tä tai tekemään iTunesin, App Storen tai iBooksin Tallenna osto uudelta laitteelta syöttämällä salasana ja nelinumeroinen vahvistuskoodi. Ilman sekä salasanaa että vahvistuskoodia käyttäjät eivät pääse tililleen.

On syytä huomata, että vaikka käytettävissä olevien turvaominaisuuksien hyödyntäminen tiedostojen ja tilien suojaamiseksi on aina hyvä idea, hakkerointi on myös varoitus tarina huonojen salasanojen käytöstä. Jos hakkerointi suoritettiin ibrute Python -skriptin avulla, kukin julkisuuden henkilöistä, joiden tilit paljastettiin, käytti yhtä työkalun kokeilemista 500 yleisestä, helposti arvattavasta salasanasta. (Joten jos salasanasi on 'salasana' tai '123456', tässä on jälleen yksi tapa valita jotain, jota tietokoneella on vaikeampi selvittää.) Vaikka joku pystyy arvailemaan salasanasi, kaksivaiheisen vahvistuksen ottaminen käyttöön tilisi ja tiedostosi ovat turvallisempia, koska hakkeri ei voi käyttää sähköpostejasi tai tekstiviestejäsi.

Tulos on, että on tärkeää suojata tietosi vahvalla ja turvallisella salasanalla, jota komentosarjan ei ole helppo arvata, ja että jos käytät pilvipalvelua arvokkaiden tiedostojen tallentamiseen, on sinun etusi käyttää kaksivaiheinen todennus tilin pitämiseksi mahdollisimman turvallisena. On myös järkevää ottaa salasanat käyttöön puhelimessa ja tietokoneessa ja tietysti varmistaa, että kaikki ohjelmistot päivitetään. Jokainen näistä toimenpiteistä pitää tilisi turvassa ja antaa sinulle hieman enemmän mielenrauhaa, että iCloudiin lataamasi tiedostot ovat turvassa uteliailta katseilta.

Lisää Tech-huijausarkista:

  • 7 Apple-huhua viime viikolta: iPhone, iPad, MacBook ja paljon muuta
  • 15 mahtavaa sovellusta ja gadgetia, jotka saatat kadota viime viikolla
  • Älä missaa viime viikon viittä suurinta videopelihuhua