Egyszerű script törhette az iCloudot
Javította az Apple az iCloud súlyos hibáját, amely korlátlan számú bejelentkezési próbálkozást tett lehetővé. A hibás felület a Find My iPhone szolgáltatáshoz tartozott, mára már ott is korlátozott a kísérletek száma.
Elemi hibát vétett az Apple az iCloud rendszer tervezésénél - állítja a Hackapp független biztonsági tanácsadó cég alapítója, Alexey Troscichev. A szakember szerint az Apple az egyik hitelesítési felületen elfelejtette korlátozni a bejelentkezési próbálkozások számát, ezzel megnyílt a lehetőség a brute force (jelszópróbálgatós) támadások előtt. A jelszó kitalálásával pedig a támadó a célpont összes, az Apple felhős rendszerében tárolt adatához hozzáfér (fotók, dokumentumok, esetleg levelezés), az iEszközeit pedig távolról törölheti.
Brute force ellen nem véd
A biztonsági szakértők szerint az Apple normál iCloud-felületein megfelelő védelem van, a rendszer néhány sikertelen próbálkozás után letiltja a bejelentkezést és jelszó-emlékeztetőt küld. A Find My iPhone felületén azonban ilyen védelem nincs, így itt korlátlan számban próbálkozhat a potenciális támadó, ehhez csupán a felhasználó emailcímére van szükség. A bejelentkezési próbálkozások ráadásul automatizálhatóak, így akár milliós nagyságrendben is indíthatóak jelszópróbálgatós bejelentkezési kísérletek a szolgáltatás ellen
A Hackapp a megfelelő proof-of-concept kódot is elkészítette, a GitHubra feltöltött, viszonylag egyszerű Python-script segítségével valóban potenciálisan törhetőek voltak a fiókok, amennyiben a próbálkozásokat tartalmazó listán a célpont jelszava is megtalálható. E scriptből kiindulva elvben kifejleszthető olyan támadás, amely jól skálázódik és a nagyobb jelszóadatbázisokat felhasználva képes felhasználói fiókokat törni.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Ilyen adatbázisok egyébként széles körben elérhetőek, néhány nagy korábbi jelszószivárgás eredményeként kikerült tíz- és százmillió, valóban használt jelszavakból álló listák gyakorlatilag szabadon megtalálhatók az interneten. Ezek a listák pedig kiegészíthetőek különböző szabályok alapján generált egyéb listákkal (két- és háromszavas összetett szavak, bizonyos rendszer szerinti felcserélések, "l33t sp34k", stb.). Az ilyen típusú támadások ellen ma már csak az extrém hosszúságú és a teljesen véletlenszerűen generált jelszavak biztosítanak védelmet és mindenképp javasolt a kétfaktoros hitelesítés bekapcsolása is, ezt ma már egyre több szolgáltatás biztosítja.
Már foltozta az Apple
Az Apple a hibát a tegnapi nap folyamán javította, az értesülések szerint a nap végére már a Find My iPhone felületén sem lehet korlátlanul próbálkozni, a rendszer adott számú bejelentkezési kísérlet után ugyanúgy letilt, mint az egyéb iCloud-felületeken. Ezzel a támadás méregfogát kihúzta a cég, mivel a támadás csak igen nagyszámú próbálkozás esetén biztosít esélyt a sikerre.
A feltételezések szerint egyébként ezt a hibát használhatták ki a napokban a hírességek fotóinak kiszivárogtatásához is, a képek forrása ugyanis iCloud-támadásra hivatkozik. Erre azonban egyelőre megdöntetetlen bizonyíték nincs, egyelőre több párhuzamos forgatókönyv is él a szivárgás magyarázatára. A fenti iCloud-hiba azonban bizonyíthatóan létezett - tegnapig.