טֶכנוֹלוֹגִיָה

האק של iCloud: מה קרה ואיך להגן על עצמך

איזה סרט לראות?
 
תמונות iCloud

מקור: Apple.com

בסוף השבוע, על פי הדיווחים, אינספור תמונות עירום של ידוענים ברשימת A נגנבו על פי החשד מחשבונות iCloud והופצו ברחבי האינטרנט. אז איך מישהו הצליח לקבל גישה לחשבונות בשירות אחסון הענן של אפל, ומה אתה יכול לעשות כדי להגן על הקבצים שלך מפני הפרה דומה?

ה וול סטריט ג'ורנל Daisuke Wakabayashi מדווח כי אפל היא ' חוקרת באופן פעיל 'מדווח כי חולשות iCloud נוצלו כדי לפרוץ כמה חשבונות של ידוענים. על פי הדיווחים, תמונות וסרטונים בעירום, חלקם אותנטיים וחלקם מזויפים, נגנבו מחשבונות iCloud של ידוענים, כולל השחקנית ג'ניפר לורנס והדוגמנית קייט אפטון והועלו לקהילת שיתוף התמונות 4chan. משם הם התפשטו לטוויטר, רדיט, אימגור ואתרים אחרים, שרבים מהם סגרו את הנושאים והחשבונות שבהם פורסמו התמונות.

כמה כסף מרוויח דריק

תפוחים iCloud מאפשר למשתמשים לאחסן מוסיקה, תמונות, מסמכים וקבצים אחרים ב- iCloud, ולגשת אליהם ממגוון מכשירים. בפוסט ב- GitHub, משתמש פירט על באג שהתגלה בשירות Find My iPhone של אפל - תכונת iCloud המאפשרת למשתמשים להבין את מיקומו של iPhone חסר - שאיפשר להאקר לבצע מספר בלתי מוגבל של ניחושים על סיסמת iCloud. עד לזיהוי הנכון. ההודעה של GitHub כללה גם סקריפט של פייתון בשם 'ibrute' שאפשר למשתמשים לבצע התקפות 'כוח אכזרי' כביכול כדי לקבל גישה לחשבונות ב- iCloud דרך הפגיעות מצא את האייפון שלי.

התקפות כוח אכזרי משתמשות בסקריפט כדי לנחש שוב ושוב את סיסמת החשבון, וברגע שהסיסמה התגלתה, ההאקר יכול להשתמש בה לגשת לפונקציונליות אחרת של iCloud. הכלי ibrute מסתמך על רשימה של 500 סיסמאות נפוצות (וכך תלוי בבעלי חשבונות iCloud המשתמשים בסיסמאות קלות לנחש).

האינטרנט הבא מדווח כי משתמשי טוויטר הצליחו להשתמש בכלי שהתפרסם במשך יומיים לפני ששותף אליו האקרניוז , כדי לגשת לחשבונות שלהם . ההודעה של GitHub עודכנה ביום שני עם ההודעה: 'סוף הכיף, אפל רק תוקנה.' בעת בדיקת הכלי, האינטרנט הבא מצא כי אפל נעלה את החשבון לאחר חמש ניסיונות, כלומר סקריפט הפייתון אכן מנסה לתקוף את השירות אך אפל אכן תיקנה את הפגיעות.

שהוא ג'ף גורדון נשוי

הפגיעות מצא את האייפון שלי שאיפשרה ניחושים ללא הגבלה מייצגת סטייה ממדיניות רוב השירותים, הנעילה חשבון לאחר מספר ניסיונות סיסמה שגויים. צוות של האינטרנט הבא שוחח עם יוצר התסריט של פייתון, המכונה 'Hackapp', באמצעות טוויטר. ( מחדש / קוד מדווח כי iBrute נוצר על ידי חוקרי אבטחה רוסים כהוכחה לתפיסה והוכיח בכנס אבטחה בקיץ.) האינטרנט הבא נשאל האם ניתן היה להשתמש בכלי בפריצה לחשבונות של ידוענים. מי שעומד מאחורי חשבון הטוויטר של האקפ הגיב, 'עדיין לא ראיתי שום ראיות, אבל אני מודה שמישהו יכול להשתמש בכלי הזה.'

אפל אמנם לא אמרה דבר על אופן ביצוע הפריצה לחשבונות הסלבריטאים, אך אנליסט ומנכ'ל Securosis אמר ריץ 'מוגול. ה וול סטריט ג'ורנל שייתכן שהפריצה והפגיעות שנחשפו ב- GitHub היו קשורים זה לזה. הוא גם אומר כי הרבה יותר סביר שהאקרים פרצו לחשבונות בודדים של ידוענים במקום לפרוץ למערכת iCloud. מוגול אמר כי 'אני אהיה המום שאפל עצמה נפרצה.'

לא משנה אם נעשה שימוש בתסריט iBrute בהדלפה, אמרו חוקרים מחברת האבטחה FireEye Re / Code's אריק הסלדאל כי נראה כי הפריצה הייתה התקפה ישירה אפשר היה למנוע . באופן ספציפי, ייתכן שהיה ניתן למנוע את הפריצה אילו ידוענים שהושפעו היו מאפשרים בחשבונות iCloud תכונת אבטחה הנקראת אימות דו-גורמי.

אימות דו-גורמי, או 'אימות דו-שלבי', כפי שאפל מכנה את גרסתו, דורש שני שלבים כדי לאמת את זהות המשתמש שמנסה לגשת למחשב או לשירות, גם כאשר אותו משתמש יודע את סיסמת החשבון. במקרה של iCloud, הפעלת אימות דו-שלבי תדרוש ממשתמש להזין קוד מספרי שנשלח לטלפון שלו או למכשיר אחר כדי לאמת את זהותו בנוסף להזנת הסיסמה הרגילה שלו. מכיוון שהקוד משתנה כל הזמן, הפעלת אימות דו-שלבי מקשה משמעותית על האקר לקבל גישה לחשבון.

בעוד שאפל 'לא עובדת קשה מאוד', כמו מחדש / קוד מנסח זאת, כדי להודיע ​​למשתמשים על זמינותן של תכונות אבטחה כמו אימות דו-שלבי, דף באתר התמיכה שלה מסביר את התהליך של הפעלת התכונה לתעודת זהות של אפל. כדי לאפשר אימות דו-שלבי, בצע את הצעדים הבאים:

מה ממוצע החבטות של מייק פורל
  1. לך ל תעודת הזהות של אפל שלי .
  2. בחר 'נהל את מזהה Apple שלך' והיכנס.
  3. בחר באפשרות 'סיסמה ואבטחה'.
  4. בקטע 'אימות דו שלבי' בחר 'התחל לעבוד' ופעל לפי ההוראות.
אימות דו שלבי של אפל

מקור: Support.apple.com

בעת הגדרת אימות דו-שלבי, משתמשים רושמים מכשיר אחד או יותר שעליהם הם יכולים לקבל קודי אימות של ארבע ספרות באמצעות הודעות SMS או שירות מצא את האייפון שלי. (אפל דורשת מהמשתמשים לספק לפחות מספר טלפון אחד התומך ב- SMS.) לאחר הפעלת התכונה, המשתמשים יתבקשו לאמת את זהותם בכל עת שייכנסו לניהול מזהה Apple שלהם, או ליצור iTunes, App Store או iBooks. קנו חנות ממכשיר חדש על ידי הזנת הסיסמה שלהם וקוד אימות בן ארבע ספרות. ללא הסיסמה וקוד האימות, המשתמשים לא יוכלו לגשת לחשבונות שלהם.

ראוי לציין שלמרות שניצול תכונות האבטחה הזמינות להגנה על הקבצים והחשבונות שלך הוא תמיד רעיון טוב, הפריצה היא גם סיפור אזהרה לגבי שימוש בסיסמאות גרועות. אם הפריצה בוצעה באמצעות תסריט ה- ibrute Python, כל אחד מהסלבריטאים שחשבונותיהם נחשפו השתמש באחת מ -500 הסיסמאות הנפוצות והקלות לנחש שהכלי מנסה. (אז אם הסיסמה שלך היא 'סיסמה' או '123456', הנה עוד מקרה לבחירת משהו שיהיה קשה יותר להבין למחשב.) גם אם מישהו מסוגל לנחש את הסיסמה שלך, הפעלת אימות דו-שלבי תשמור החשבון והקבצים שלך בטוחים יותר, מכיוון שהאקר לא יוכל לגשת לאימיילים או להודעות הטקסט שלך.

התוצאה היא שחשוב להגן על הנתונים שלך באמצעות סיסמה חזקה ומאובטחת שלא יהיה קל לסבור לתסריט, ושאם אתה משתמש בשירות ענן לאחסון קבצים יקרי ערך, זה האינטרס שלך להשתמש אימות דו שלבי כדי לשמור על החשבון שלך כמה שיותר מאובטח. זה גם חכם לאפשר קודי סיסמה וסיסמאות בטלפון ובמחשב שלך, וכמובן לוודא שכל התוכנות שלך מעודכנות. כל אחת מהצעדים הללו תשמור על חשבונותיך בטוחים יותר ותעניק לך קצת יותר שקט נפשי שכל הקבצים שתעלה ל- iCloud יהיו מאובטחים מעיניים סקרניות.

עוד מתוך גיליון צ'אט טק:

  • 7 שמועות של אפל מהשבוע שעבר: אייפון, אייפד, מקבוק ועוד
  • 15 אפליקציות וגאדג'טים מדהימים שאולי פספסתם בשבוע שעבר
  • אל תחמיצו את 5 השמועות הגדולות ביותר של משחקי הווידאו בשבוע שעבר