Apple: iCloud je bezpečný, za únik fotek mohou slabá hesla

Hromada fotek odhalených celebrit skutečně pochází z jejich iPhonů a útočníci se k nim dostali přes iCloud. O tom není pochyb. Apple však popřel, že by chyba byla na jeho straně.
Apple: iCloud je bezpečný, za únik fotek mohou slabá hesla
Klepněte pro větší obrázek

Chvíli to trvalo, ale Apple se konečně oficiálně vyjádřil k pondělnímu úniku fotografií celebrit. Ten vzbudil pozornost nejen v bulvárních médiích, protože leckteré fotky byly značně choulostivé, ale také těch technických, protože fotografie údajně unikly z cloudového úložiště Applu. Apple nepřímo potvrdil nejpravděpodobnější postup, kterým útočníci přístup k účtům získali, ale vinu svedl na samotné uživatele.

Oficiální vyjádření Applu:

„Chtěli bychom vás informovat o našem vyšetřování v případě krádeže fotek některých celebrit. Když jsme se o krádeži dozvěděli, byli jsme pobouřeni a okamžitě jsme mobilizovali inženýry Applu, aby zjistili zdroj úniku. Soukromí a bezpečnost našich zákazníků je totiž pro nás to nejdůležitější. Po více než 40 hodinách vyšetřování jsme zjistili, že účty dotčených celebrit byly napadeny útokem cíleným na uživatelská jména, hesla a bezpečnostní otázky, což je běžná praxe všude na internetu. Žádný z případů, který jsme prošetřovali, nebyl vyhodnocen jako průnik do některého systému Applu, včetně iCloudi nebo funkce Find my iPhone. Pokračujeme ve spolupráci s policií, abychom pomohli najít viníky.

K ochraně proti tomuto typu útoku doporučujeme všem uživatelům vždy používat silná hesla a zapnout si dvoufázové ověřování. O obou možnostech více na našem webu: http://support.apple.com/kb/ht4232

500 nejpoužívanějších hesel stačí k úspěchu

Před útokem se totiž na Githubu objevil skript, který umožnil opakované hádání hesel ke službě Find my iPhone. Ta slouží k vyhledání zapomenutého či odcizeného iPhonu tím, že se uživatel přihlásí pod svým uživatelským účtem a následně se mu na mapě zobrazí poslední známá poloha jeho telefonu. K přihlášení se tu tedy používá Apple ID, uživatelský účet do systému Applu, kterým se lze dostat i k obsahu samotného iCloudu.

Klepněte pro větší obrázek 
Find my iPhone. Pravděpodobné slabé místo, kde bylo možné provést automatizované hádání hesel opakovanými pokusy pro přihlášní.

Webové služby jsou zpravidla chráněny před opakovanými pokusy o uhádnutí hesla omezeným počtem pokusů, což platí i o iCloudu. Jenomže v případě přímého přístupu k Find my iPhone tato ochrana chyběla. Apple tuto chybu záhy opravil, ale to už bylo pozdě. Útočníci vzali 500 nejpoužívanějších hesel (ty jsou známy z mnoha úniků) a postupně je aplikovali na účty s uživatelskými jmény, které by teoreticky mohly patřit celebritám.

Několik set opakovaných pokusů k uhodnutí hesla ke každému účtu ještě nestačilo automatickým kontrolním mechanismům Applu na to, aby konání vyhodnotily jako útok a majitele účtu přinejmenším informovaly na e-mail.

Chraňte si své cloudy

Tento postup Apple oficiálně nepotvrdil, uvedli ho samotní údajní autoři úniku. Ale nikdo už o tom moc nepochybuje. Ostatně, to že Apple záhy chybu opravil a přihlášení na Find my iPhone omezil jen na pět pokusů, možnost využití této cesty nepřímo potvrzuje.

Se znalostí Apple ID už se dá jednoduše dostat ke všem údajům v iCloudu. Zajímavý mohl být u mnohých pohled do adresáře či kalendáře, nejlákavější ale pochopitelně byly fotky. Z iPhonu se totiž na iCloud posílají automaticky, takže veškeré mobilní momentky jsou k nalezení i v cloudu.

Na začátku to byla vlastně jen malá šance – musíte uhodnout uživatelské jméno, k tomu heslo a cílená celebrita musí mít navíc iPhone. Ale jak se ukázalo, úspěšnost byla nakonec docela vysoká. Popularita produktů Applu mezi celebritami je totiž značná, ale osvěta ohledně zabezpečení uživatelských účtů na internetu zjevně chabá. Focení sebe samotných včetně choulostivých záběrů je pak možná přirozenou vlastností celebrit…

Je pravděpodobné, že při útoku na celebrity byla stejným způsobem odhalena hromada dalších uživatelských účtů běžných lidí, kteří používají podobná přihlašovací jména. Chcete-li se vyhnout podobným útokům, ochrana je triviální, prostě zajistěte své internetové účty dobrými hesly a pokud to jde, využijte dvoufázové ověřování. 

 

Diskuze (88) Další článek: MSI láká novým chladičem Twin Frozr V na GeForce GTX 900

Témata článku: Apple, Cloud, Web, Bezpečnost, Únik dat, Heslo, iCloud, Dvoufázové ověření, Dvoufázové ověřování, Apple icloud, Apple iPhone, APP, Uživatelský účet, Celebrita, Fotka, Jennifer Lawrence, SLA, Apple.com, Uživatelské jméno, Značná popularita, M/s, Únik, Celebrity, Běžná praxe, Osvěta, Apple iphone na Mall.cz


Určitě si přečtěte

Proč byste měli rozmazávat SPZ aut na fotkách, které vystavujete na web

Proč byste měli rozmazávat SPZ aut na fotkách, které vystavujete na web

** Na fotkách aut nahraných na web je dobré rozmazat SPZ ** Značku dokáže z obrázku přečíst Google i Facebook ** SPZ může naplnit podstatu osobního údaje

Karel Kilián | 67

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 8

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

** Nový Edge je postavený na Chromiu ** Prohnali jsme ho benchmarky a srovnali s ostatními ** Potvrdily nám, že je prakticky stejný jako Chrome a Opera

Jakub Čížek | 66

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

** Loni ajťáky vystrašilo přetečení GPS čítače týdnů ** Nemělo se stát vůbec nic, ale svět opět nebyl připravený ** Za 18 let nás ale čeká ještě něco mnohem většího

Jakub Čížek | 68

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

** Představte si svobodné Windows. Bláznivá vize? ** Vývojáři je přitom začali psát už před více než dvaceti lety ** Jmenují se ReactOS a spustíte na nich i Total Commander

Jakub Čížek | 52

37 nejstrašnějších počítačů, které jste kdy viděli

37 nejstrašnějších počítačů, které jste kdy viděli

** Přehled nejhorších počítačů na světě ** Šílené konstrukce a materiály ** Jak to dopadne, když se o počítač nestaráte

Karel Javůrek | 24



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor