Apple: iCloud je bezpečný, za únik fotek mohou slabá hesla

Hromada fotek odhalených celebrit skutečně pochází z jejich iPhonů a útočníci se k nim dostali přes iCloud. O tom není pochyb. Apple však popřel, že by chyba byla na jeho straně.
Apple: iCloud je bezpečný, za únik fotek mohou slabá hesla
Klepněte pro větší obrázek

Chvíli to trvalo, ale Apple se konečně oficiálně vyjádřil k pondělnímu úniku fotografií celebrit. Ten vzbudil pozornost nejen v bulvárních médiích, protože leckteré fotky byly značně choulostivé, ale také těch technických, protože fotografie údajně unikly z cloudového úložiště Applu. Apple nepřímo potvrdil nejpravděpodobnější postup, kterým útočníci přístup k účtům získali, ale vinu svedl na samotné uživatele.

Oficiální vyjádření Applu:

„Chtěli bychom vás informovat o našem vyšetřování v případě krádeže fotek některých celebrit. Když jsme se o krádeži dozvěděli, byli jsme pobouřeni a okamžitě jsme mobilizovali inženýry Applu, aby zjistili zdroj úniku. Soukromí a bezpečnost našich zákazníků je totiž pro nás to nejdůležitější. Po více než 40 hodinách vyšetřování jsme zjistili, že účty dotčených celebrit byly napadeny útokem cíleným na uživatelská jména, hesla a bezpečnostní otázky, což je běžná praxe všude na internetu. Žádný z případů, který jsme prošetřovali, nebyl vyhodnocen jako průnik do některého systému Applu, včetně iCloudi nebo funkce Find my iPhone. Pokračujeme ve spolupráci s policií, abychom pomohli najít viníky.

K ochraně proti tomuto typu útoku doporučujeme všem uživatelům vždy používat silná hesla a zapnout si dvoufázové ověřování. O obou možnostech více na našem webu: http://support.apple.com/kb/ht4232

500 nejpoužívanějších hesel stačí k úspěchu

Před útokem se totiž na Githubu objevil skript, který umožnil opakované hádání hesel ke službě Find my iPhone. Ta slouží k vyhledání zapomenutého či odcizeného iPhonu tím, že se uživatel přihlásí pod svým uživatelským účtem a následně se mu na mapě zobrazí poslední známá poloha jeho telefonu. K přihlášení se tu tedy používá Apple ID, uživatelský účet do systému Applu, kterým se lze dostat i k obsahu samotného iCloudu.

Klepněte pro větší obrázek 
Find my iPhone. Pravděpodobné slabé místo, kde bylo možné provést automatizované hádání hesel opakovanými pokusy pro přihlášní.

Webové služby jsou zpravidla chráněny před opakovanými pokusy o uhádnutí hesla omezeným počtem pokusů, což platí i o iCloudu. Jenomže v případě přímého přístupu k Find my iPhone tato ochrana chyběla. Apple tuto chybu záhy opravil, ale to už bylo pozdě. Útočníci vzali 500 nejpoužívanějších hesel (ty jsou známy z mnoha úniků) a postupně je aplikovali na účty s uživatelskými jmény, které by teoreticky mohly patřit celebritám.

Několik set opakovaných pokusů k uhodnutí hesla ke každému účtu ještě nestačilo automatickým kontrolním mechanismům Applu na to, aby konání vyhodnotily jako útok a majitele účtu přinejmenším informovaly na e-mail.

Chraňte si své cloudy

Tento postup Apple oficiálně nepotvrdil, uvedli ho samotní údajní autoři úniku. Ale nikdo už o tom moc nepochybuje. Ostatně, to že Apple záhy chybu opravil a přihlášení na Find my iPhone omezil jen na pět pokusů, možnost využití této cesty nepřímo potvrzuje.

Se znalostí Apple ID už se dá jednoduše dostat ke všem údajům v iCloudu. Zajímavý mohl být u mnohých pohled do adresáře či kalendáře, nejlákavější ale pochopitelně byly fotky. Z iPhonu se totiž na iCloud posílají automaticky, takže veškeré mobilní momentky jsou k nalezení i v cloudu.

Na začátku to byla vlastně jen malá šance – musíte uhodnout uživatelské jméno, k tomu heslo a cílená celebrita musí mít navíc iPhone. Ale jak se ukázalo, úspěšnost byla nakonec docela vysoká. Popularita produktů Applu mezi celebritami je totiž značná, ale osvěta ohledně zabezpečení uživatelských účtů na internetu zjevně chabá. Focení sebe samotných včetně choulostivých záběrů je pak možná přirozenou vlastností celebrit…

Je pravděpodobné, že při útoku na celebrity byla stejným způsobem odhalena hromada dalších uživatelských účtů běžných lidí, kteří používají podobná přihlašovací jména. Chcete-li se vyhnout podobným útokům, ochrana je triviální, prostě zajistěte své internetové účty dobrými hesly a pokud to jde, využijte dvoufázové ověřování. 

 

Diskuze (88) Další článek: MSI láká novým chladičem Twin Frozr V na GeForce GTX 900

Témata článku: Apple, Web, Cloud, Bezpečnost, Heslo, Únik dat, iCloud, Dvoufázové ověření, APP, Celebrity, Značná popularita, Malá šance, Uživatelské jméno, Apple iPhone, Dvoufázové ověřování, SLA, Slabé místo, Celebrita, Jennifer Lawrence, Fotka, Apple.com, Únik, Běžná praxe, Uživatelský účet, Uživatelská data


Určitě si přečtěte

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

** Concorde byl nejrychlejším dopravním letadlem ** Atlantik dokázal přeletět za cca 3 až 3,5 hodiny ** Před osmnácti lety tragická havárie provoz těchto letadel prakticky ukončila

David Polesný, Jiří Černý | 37

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

** Máme eObčanku, máme čtečku, vyzkoušeli jsme přihlášení na weby úřadů. ** Objevily se drobné problémy, podařilo se nám je vyřešit. ** Používání eObčanky pro online identifikaci je velmi pohodlné.

Marek Lutonský | 35

Podívejte se, co se stane, když dron DJI Phantom narazí do křídla letadla

Podívejte se, co se stane, když dron DJI Phantom narazí do křídla letadla

** Co se může stát, když relativně maličký dron narazí do křídla letadla? ** Tuto otázku zodpověděli odborníci laboratorním pokusem ** Kvadrokoptéra způsobila významné poškození křídla

Karel Kilián | 17


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku