Автору программы iDict удалось найти простой способ обхода защиты iCloud. Ошибка, как заявил он, была донельзя очевидной. После публикации программы Apple быстро исправила ошибку.
В начале января в открытом доступе появилась программа под названием iDict, разработанная пользователем GitHub под псевдонимом Pr0x13. Программа осуществляла подбор пароля к учетным записям Apple iCloud с помощью перебора сочетаний из заданного словаря. К iDict прилагался словарь из 500 наиболее часто используемых паролей.
Как правило, сетевые сервисы предотвращают возможность подобных атак, ограничивая количество неудачных попыток ввода пароля. Однако автору iDict удалось найти простой способ обхода защиты iCloud. Ошибка, как заявил он, была донельзя очевидной, и использование ее злоумышленниками было лишь вопросом времени. После публикации программы Apple быстро исправила ошибку. Pr0x13 сообщил об этом уже на следующий день.
В сентябре в сети появилось большое количество частных фотографий знаменитостей, похищенных из iCloud. В Apple утверждали, что взломать их учетные записи удалось с помощью целевых атак с подбором паролей и ответов на контрольные вопросы. После взлома Apple реализовала в iCloud двухфакторную аутентификацию и рекомендовала пользователям включить ее.
Теги:
Информационная безопасность
Apple
Уязвимости
двухфакторная идентификация
iCloud
В Apple устранили возможность подбора пароля к учетным записям iCloud
На ту же тему:
В Apple устранили большинство уязвимостей iOS, появившихся на WikiLeaks
В документах, опубликованных WikiLeaks, нет подробных сведений о самих ошибках, и не указано, использовались ли они уже ЦРУ, так что неясно, как именно в Apple поняли, что соответствующие бреши закрыты.
Судя по опубликованным документам, в ЦРУ располагали информацией об уязвимостях нулевого дня, которые можно было использовать для взлома iPhone.
Шведский хакер нашел уязвимость в OS X Yosemite
Сотрудник компании Truesec заявляет, что обнаружил возможность повышения привилегий в нескольких версиях операционной системы Apple OS X, в том числе в самой новой версии 10.10 (Yosemite). В Apple еще не исправили ошибку, и поэтому Truesec не публикует технических подробностей.