Az Apple Find My iPhone szolgáltatásának hibája állhatott egy olyan támadás hátterében, amelynek eredményeként több száz híresség iCloud-fiókja került veszélybe.
hogyan lehet törölni a vágólapot a telefonon
A koncepció által kidolgozott Python szkript, amelyet fejlesztett HackApp a durva kényszerítésért az iCloud már több napja körözött az interneten, mielőtt 17 híres nő aktfotói készültek, köztükéhezők viadalaszínésznő Jennifer Lawrence ésScott zarándokMary E Winstead főszereplő színésznő megjelent az interneten - nyilván lopták az iCloud-fiókjukból.
A hacker azt állította, hogy összesen több mint 100 női híresség képe van.
A kód nyilvánvalóan lehetővé teszi a támadók számára, hogy többször kitalálják a jelszavakat a Find My iPhone-on keresztül, anélkül, hogy lezárást indítanának vagy figyelmeztetnék a célpontot.
Miután felfedezte a jelszót, a támadó ezt használhatja az iCloud más területeinek elérésére.
Az Apple azóta befoltozta a lyukat, bár vannak ilyenek a Redditre vonatkozó követelések hogy a javítás csak bizonyos régiókban aktív.
Graham Cluley biztonsági kutató azonban azt állította, hogy nehéz elhinni, hogy ezt rövid időn belül észlelés nélkül, sokféle fiókkal sikeresen fel lehetett volna használni.
Cluley és más kutatók által felvetett másik lehetőség az, hogy a támadás áldozatainak vagy könnyen kitalálható jelszóval, vagy jelszó-visszaállító válaszokkal rendelkeztek.
Számos webhely lehetőséget ad az „elfelejtette a jelszavát” opcióra, vagy arra kéri, hogy ugorjon át a karikákon úgy, hogy „titkos kérdésekre” válaszolva igazolja személyazonosságát - mondta Cluley.
Egy híresség esetében azonban különösen egyszerű lehet egy egyszerű Google-kereséssel meghatározni első háziállatuk nevét vagy anyjuk leánykori nevét - tette hozzá.
Rik Ferguson, a Trend Micro biztonsági kutatója, is mondta valószínűtlen az Apple iCloud széles körű „feltörése”, rámutatva, hogy még az eredeti poszter sem állította, hogy ez a helyzet.
Cluley-hoz hasonlóan azt javasolta, hogy a támadó az Elfelejtettem a jelszavamat linket használhassa, ha már tudták és hozzáférhettek az e-mail címekhez, amelyeket az áldozatok az iCloudhoz használtak. Azt is javasolta, hogy a szóban forgó hírességek adathalász támadás áldozatává válhassanak.
Twitter-reakció és jogi fenyegetések
Míg a fotók eredetileg a 4chan csatornán szivárogtak ki, nem kellett sok idő, mire főleg Jennifer Lawrence képei elkezdtek megjelenni a Twitteren.
Körülbelül két órán belül a Twitter megkezdte az összes fiók felfüggesztését, amely az ellopott fényképeket közzétette, de -tól származó idővonal szerintA tükör , a közösségi hálózat egy ütés játékot játszott, az új képek jóval több, mint egy órán keresztül jelentek meg, miután elkezdett működni.
Mary E Winstead maga a Twitteren hívta fel mind a képeket közzétevő személyt, mind azokat, akik őket nézték.
Azoknak, akik megnézik azokat a fotókat, amelyeket évekkel ezelőtt a férjemmel készítettem otthonunk magánéletében, remélem, hogy jól érzik magukat.
- Mary E. Winstead (@M_E_Winstead) 2014. augusztus 31
Végül azonban vissza kellett vonulnia a peronról, hogy elkerülje a visszaélésszerű üzeneteket
Internet szünet. Nyugodtan nézze meg @ -jaimat, hogy bepillanthasson, milyen nőnek lenni, aki bármiről beszél a twitteren
- Mary E. Winstead (@M_E_Winstead) 2014. szeptember 1
hogyan tilthatja le az inkognitómódot
Jennifer Lawrence szóvivője már elmondta, hogy jogi lépéseket fognak folytatni bárki ellen, aki terjeszti a fotókat.
Ez a magánélet kirívó megsértése. Megkeresték a hatóságokat, és bíróság elé állítják azokat, akik közzéteszik Jennifer Lawrence ellopott fényképeit - közölték.
2011-ben hasonló lépéseket tettek, amikor 50 híresség, köztük Scarlett Johansson és Christina Aguilera e-mailjeit feltörték, akt fotókat loptak el és nyilvánosan terjesztettek.
Az FBI nyomozását követően az elkövetőt, a floridai Jacksonville-i Christopher Chaneyt tíz év börtönre ítélték.
Biztonsági ellenintézkedések
hogyan lehet szerepeket kiosztani viszályban
Bár a nem hírességeknél kevésbé valószínű, hogy aktfotóik olyan széles körben kerülnek terjesztésre, mint egy híres emberé, előfordulhat és még mindig megtörténik.
A biztonsági szakemberek szerint ennek az eseménynek emlékeztetnie kell a hatékony biztonsági intézkedések bevezetésének fontosságát minden online szolgáltatásra, és arra kell ösztönöznie a felhasználókat, hogy legyenek figyelmesek a felhőbe feltöltött dolgokra.
Mivel a mai eszközök nagyon szeretnék az adatokat saját felhőszolgáltatásaikba továbbítani, az embereknek vigyázniuk kell arra, hogy az érzékeny adathordozókat ne töltsék fel automatikusan az internetre, vagy más párosított eszközökre - mondta Chris Boyd, a Malwarebytes rosszindulatú programokkal foglalkozó elemzőjePC Pro.
Ferguson azt javasolta, hogy lehetséges, hogy a támadás áldozatává vált emberek elfelejtették vagy nem vették észre, hogy az Apple automatikusan szinkronizálja a felhasználó iPhone vagy iPad Photo Stream fotóit az iCloud-jukkal.
Ebben az esetben úgy tűnik, hogy az áldozatok egy része úgy vélhette, hogy elegendő a fényképek telefonról való törlése - mondta.
Boyd és Ferguson egyaránt javasolja annak kiderítését, hogy a felhőszolgáltatásban tárolt adatokról milyen biztonsági másolatok vagy árnyékmásolatok készülnek, és hogyan kezelhetők.
Stefano Ortolani, a Kaspersky Lab biztonsági kutatója azt is javasolta, hogy a felhasználók válasszák ki a felhőben tárolt adatokat, és tiltsák le az automatikus szinkronizálást.
Azt is állíthatja, hogy az okostelefonok, amelyek folyamatosan kapcsolódnak az internethez, nem a legjobb helyek a meztelen képekhez - mondta Boyd - ezt hangoztatja Cluley és Ferguson.
PC Promegkereste az Apple-t, hogy a cég tudjon-e iCloud szolgáltatásának széles körű feltöréséről, de a közzététel idején nem kapott választ.