:

Szerző: Gálffy Csaba

2014. szeptember 2. 08:25

Egyszerű script törhette az iCloudot

Javította az Apple az iCloud súlyos hibáját, amely korlátlan számú bejelentkezési próbálkozást tett lehetővé. A hibás felület a Find My iPhone szolgáltatáshoz tartozott, mára már ott is korlátozott a kísérletek száma.

Elemi hibát vétett az Apple az iCloud rendszer tervezésénél - állítja a Hackapp független biztonsági tanácsadó cég alapítója, Alexey Troscichev. A szakember szerint az Apple az egyik hitelesítési felületen elfelejtette korlátozni a bejelentkezési próbálkozások számát, ezzel megnyílt a lehetőség a brute force (jelszópróbálgatós) támadások előtt. A jelszó kitalálásával pedig a támadó a célpont összes, az Apple felhős rendszerében tárolt adatához hozzáfér (fotók, dokumentumok, esetleg levelezés), az iEszközeit pedig távolról törölheti.

 

Brute force ellen nem véd

A biztonsági szakértők szerint az Apple normál iCloud-felületein megfelelő védelem van, a rendszer néhány sikertelen próbálkozás után letiltja a bejelentkezést és jelszó-emlékeztetőt küld. A Find My iPhone felületén azonban ilyen védelem nincs, így itt korlátlan számban próbálkozhat a potenciális támadó, ehhez csupán a felhasználó emailcímére van szükség. A bejelentkezési próbálkozások ráadásul automatizálhatóak, így akár milliós nagyságrendben is indíthatóak jelszópróbálgatós bejelentkezési kísérletek a szolgáltatás ellen

A Hackapp a megfelelő proof-of-concept kódot is elkészítette, a GitHubra feltöltött, viszonylag egyszerű Python-script segítségével valóban potenciálisan törhetőek voltak a fiókok, amennyiben a próbálkozásokat tartalmazó listán a célpont jelszava is megtalálható. E scriptből kiindulva elvben kifejleszthető olyan támadás, amely jól skálázódik és a nagyobb jelszóadatbázisokat felhasználva képes felhasználói fiókokat törni.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Ilyen adatbázisok egyébként széles körben elérhetőek, néhány nagy korábbi jelszószivárgás eredményeként kikerült tíz- és százmillió, valóban használt jelszavakból álló listák gyakorlatilag szabadon megtalálhatók az interneten. Ezek a listák pedig kiegészíthetőek különböző szabályok alapján generált egyéb listákkal (két- és háromszavas összetett szavak, bizonyos rendszer szerinti felcserélések, "l33t sp34k", stb.). Az ilyen típusú támadások ellen ma már csak az extrém hosszúságú és a teljesen véletlenszerűen generált jelszavak biztosítanak védelmet és mindenképp javasolt a kétfaktoros hitelesítés bekapcsolása is, ezt ma már egyre több szolgáltatás biztosítja.

Már foltozta az Apple

Az Apple a hibát a tegnapi nap folyamán javította, az értesülések szerint a nap végére már a Find My iPhone felületén sem lehet korlátlanul próbálkozni, a rendszer adott számú bejelentkezési kísérlet után ugyanúgy letilt, mint az egyéb iCloud-felületeken. Ezzel a támadás méregfogát kihúzta a cég, mivel a támadás csak igen nagyszámú próbálkozás esetén biztosít esélyt a sikerre.

A feltételezések szerint egyébként ezt a hibát használhatták ki a napokban a hírességek fotóinak kiszivárogtatásához is, a képek forrása ugyanis iCloud-támadásra hivatkozik. Erre azonban egyelőre megdöntetetlen bizonyíték nincs, egyelőre több párhuzamos forgatókönyv is él a szivárgás magyarázatára. A fenti iCloud-hiba azonban bizonyíthatóan létezett - tegnapig.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

handheld

11

Új kézi konzolon dolgozhat a Sony

2024. november 25. 12:10

Az újdonság a Portalra épülhet és PS5-ös játékokat lehetne vele mobilizálni - felhőszolgáltatás nélkül.