Vince, Artúr
-5 °C
2 °C
Index - In English In English Eng

Az Apple rég tudta, hogy baj van

2014.09.24. 16:11

Most előkerült emailek szerint az Apple már legalább 2014 márciusa óta tudott róla, hogy az Icloud szolgáltatásnak van egy súlyos sebezhetősége. A levélváltás az Apple és egy biztonsági szakértő között zajlott. A Daily Dothoz került leveleket több biztonsági szakértők is megvizsgálta; véleményük szerint Ibrahim Balic, egy londoni szoftverfejlesztő már korábban tájékoztatta az Apple-t a rendszer sebezhetőségéről.

Az Icloud megbízhatóságát akkor kezdték megkérdőjelezni, amikor egy hekker a 4chanra kezdte el feltöltögetni több híresség meztelen képeit; a fotókat az Icloudról szerezték. Balic szerint az általa jelentett sebezhetőség ugyanaz, mint amit a támadók a Celebgate néven elhíresült adatlopásnál is kihasználtak.

Balic először március 26-án írt az Apple-nek, hogy sikeresen megkerülte az egyik védelmi megoldásukat, ami a brute force támadásokat előzné meg - ilyenkor a hekkerek irtózatos mennyiségű jelszóval próbálják meg feltörni a megcélzott fiókot. Nem túl hatékony módszer, a cégek általában úgy védekeznek ellene, hogy korlátozzák a bejelentkezési kísérletek számát. Balic viszont értesítette az Apple-t, hogy akár húszezerszer is próbálkozhatott egy-egy profilon, a rendszer mégse tiltotta le.

Hiába szólt időben, Balic szerint az Apple még májusra sem javította ki a hibát, csak további részleteket kértek tőle – ezt a Daily Dot cikkében bemutatott levelezés is alátámasztja.

Kiderült, hogy a Find My Iphone szolgáltatás volt a ludas: ez hordozta a sebezhetőséget. Konkrétan engedélyezte a támadóknak, hogy annyiszor próbálkozzanak a jelszavakkal, ahányszor csak akarnak, anélkül, hogy a célszemély riasztást kapna, vagy a rendszer kizárná. Ha a brute force módszerrel sikerül megszerezni a jelszót – és így, letiltás nélkül ez csak idő kérdése volt –, onnantól már az Icloud további szolgáltatásai is hozzáférhetővé válnak.

Az Apple azóta javította a hibát, de Balic elégedetlen volt azzal, ahogy az Apple a helyzetet kezelte; ezért döntött úgy, hogy nyilvánosságra hozza a levelezést. Úgy látja, ha az Apple komolyabban vette volna a fenyegetést, mindez nem történik meg.