Apple: iCloud je bezpečný, za únik fotek mohou slabá hesla

Hromada fotek odhalených celebrit skutečně pochází z jejich iPhonů a útočníci se k nim dostali přes iCloud. O tom není pochyb. Apple však popřel, že by chyba byla na jeho straně.
Klepněte pro větší obrázek

Chvíli to trvalo, ale Apple se konečně oficiálně vyjádřil k pondělnímu úniku fotografií celebrit. Ten vzbudil pozornost nejen v bulvárních médiích, protože leckteré fotky byly značně choulostivé, ale také těch technických, protože fotografie údajně unikly z cloudového úložiště Applu. Apple nepřímo potvrdil nejpravděpodobnější postup, kterým útočníci přístup k účtům získali, ale vinu svedl na samotné uživatele.

Oficiální vyjádření Applu:

„Chtěli bychom vás informovat o našem vyšetřování v případě krádeže fotek některých celebrit. Když jsme se o krádeži dozvěděli, byli jsme pobouřeni a okamžitě jsme mobilizovali inženýry Applu, aby zjistili zdroj úniku. Soukromí a bezpečnost našich zákazníků je totiž pro nás to nejdůležitější. Po více než 40 hodinách vyšetřování jsme zjistili, že účty dotčených celebrit byly napadeny útokem cíleným na uživatelská jména, hesla a bezpečnostní otázky, což je běžná praxe všude na internetu. Žádný z případů, který jsme prošetřovali, nebyl vyhodnocen jako průnik do některého systému Applu, včetně iCloudi nebo funkce Find my iPhone. Pokračujeme ve spolupráci s policií, abychom pomohli najít viníky.

K ochraně proti tomuto typu útoku doporučujeme všem uživatelům vždy používat silná hesla a zapnout si dvoufázové ověřování. O obou možnostech více na našem webu: http://support.apple.com/kb/ht4232

500 nejpoužívanějších hesel stačí k úspěchu

Před útokem se totiž na Githubu objevil skript, který umožnil opakované hádání hesel ke službě Find my iPhone. Ta slouží k vyhledání zapomenutého či odcizeného iPhonu tím, že se uživatel přihlásí pod svým uživatelským účtem a následně se mu na mapě zobrazí poslední známá poloha jeho telefonu. K přihlášení se tu tedy používá Apple ID, uživatelský účet do systému Applu, kterým se lze dostat i k obsahu samotného iCloudu.

Klepněte pro větší obrázek 
Find my iPhone. Pravděpodobné slabé místo, kde bylo možné provést automatizované hádání hesel opakovanými pokusy pro přihlášní.

Webové služby jsou zpravidla chráněny před opakovanými pokusy o uhádnutí hesla omezeným počtem pokusů, což platí i o iCloudu. Jenomže v případě přímého přístupu k Find my iPhone tato ochrana chyběla. Apple tuto chybu záhy opravil, ale to už bylo pozdě. Útočníci vzali 500 nejpoužívanějších hesel (ty jsou známy z mnoha úniků) a postupně je aplikovali na účty s uživatelskými jmény, které by teoreticky mohly patřit celebritám.

Několik set opakovaných pokusů k uhodnutí hesla ke každému účtu ještě nestačilo automatickým kontrolním mechanismům Applu na to, aby konání vyhodnotily jako útok a majitele účtu přinejmenším informovaly na e-mail.

Chraňte si své cloudy

Tento postup Apple oficiálně nepotvrdil, uvedli ho samotní údajní autoři úniku. Ale nikdo už o tom moc nepochybuje. Ostatně, to že Apple záhy chybu opravil a přihlášení na Find my iPhone omezil jen na pět pokusů, možnost využití této cesty nepřímo potvrzuje.

Se znalostí Apple ID už se dá jednoduše dostat ke všem údajům v iCloudu. Zajímavý mohl být u mnohých pohled do adresáře či kalendáře, nejlákavější ale pochopitelně byly fotky. Z iPhonu se totiž na iCloud posílají automaticky, takže veškeré mobilní momentky jsou k nalezení i v cloudu.

Na začátku to byla vlastně jen malá šance – musíte uhodnout uživatelské jméno, k tomu heslo a cílená celebrita musí mít navíc iPhone. Ale jak se ukázalo, úspěšnost byla nakonec docela vysoká. Popularita produktů Applu mezi celebritami je totiž značná, ale osvěta ohledně zabezpečení uživatelských účtů na internetu zjevně chabá. Focení sebe samotných včetně choulostivých záběrů je pak možná přirozenou vlastností celebrit…

Je pravděpodobné, že při útoku na celebrity byla stejným způsobem odhalena hromada dalších uživatelských účtů běžných lidí, kteří používají podobná přihlašovací jména. Chcete-li se vyhnout podobným útokům, ochrana je triviální, prostě zajistěte své internetové účty dobrými hesly a pokud to jde, využijte dvoufázové ověřování. 

 

Témata článku: Apple, Web, Cloud, Bezpečnost, Únik dat, Heslo, Dvoufázové ověření, Apple.com, Apple Id, Jennifer Lawrence, Celebrity

88 komentářů

Nejnovější komentáře

  • akanahe 4. 9. 2014 15:16:43
    No pokud ani v Apple neuměj v asp /perlu/ php tak to je dost smutné ......
  • trojanbyms 4. 9. 2014 14:19:55
    Apple už odpratal Carrier IQ zo systému, alebo už dal aj do cloudu, aby...
  • Miroslav Hrach 3. 9. 2014 23:58:14
    Sakra, to musí Appleisti povinně posílat fotky do Cloudu pro odborníky z...
Určitě si přečtěte

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

** Dobrý monitor s kvalitním panelem lze pořídit pod tři tisíce korun ** Pod deset tisíc si můžete koupit pracovní 27" monitor nebo nejlevnější použitelné 4K ** Vybrali jsme také ideální model pro vícemonitorovou konfiguraci

27.  11.  2016 | Stanislav Janů | 13

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 76