Chyba ve službě Apple Find My iPhone mohla být za útokem, který vedl k ohrožení stovek účtů iCloud celebrit.
jak smazat všechny facebookové fotografie
Skript Pythonu vytvořený společností proof-of-concept HackApp za hrubou nátlak iCloud koloval online několik dní před nahými fotkami 17 slavných žen, včetněHladové hryherečka Jennifer Lawrence aScott Pilgrimhlavní herečka Mary E Winstead se objevila online - zjevně ukradená z jejich účtů iCloud.
Hacker tvrdil, že má celkem obrázky více než 100 ženských celebrit.
Tento kód zjevně umožňuje útočníkům opakovaně hádat hesla prostřednictvím služby Najít můj iPhone, aniž by došlo k zablokování nebo upozornění na cíl.
Jakmile bylo heslo objeveno, mohl jej útočník použít k přístupu do dalších oblastí iCloudu.
Apple od té doby díru opravil, i když existují nároky na Reddit že oprava je aktivní pouze v určitých oblastech.
Výzkumník bezpečnosti Graham Cluley však tvrdí, že je těžké uvěřit, že by to mohlo být úspěšně použito proti širokému počtu účtů bez detekce v krátkém čase.
Další možností, kterou navrhli Cluley a další vědci, je to, že oběti útoku měly buď snadno uhodnutelné heslo nebo odpovědi na reset hesla.
Mnoho webů vám dává možnost „zapomenout své heslo“ nebo vás požádá, abyste přeskočili obruče tím, že odpovíte na „tajné otázky“, abyste prokázali svou totožnost, řekl Cluley.
V případě celebrity však může být obzvláště snadné určit jméno jejich prvního mazlíčka nebo rodné příjmení matky pomocí jednoduchého vyhledávání na Googlu, dodal.
Rik Ferguson, výzkumník bezpečnosti ve společnosti Trend Micro, také řekl rozsáhlý „hack“ iCloudu od Apple je nepravděpodobný, což poukazuje na to, že ani původní plakát netvrdil, že tomu tak je.
Stejně jako Cluley navrhl, aby útočník mohl použít odkaz Zapomněl jsem heslo, pokud již věděli a měli přístup k e-mailovým adresám, které oběti pro iCloud používaly. Navrhl také, že dotyčné celebrity se mohly stát oběťmi phishingového útoku.
Reakce na Twitteru a právní hrozby
I když byly fotografie původně zveřejněny na 4chan, netrvalo dlouho a na Twitteru se začaly objevovat zejména obrázky Jennifer Lawrence.
Asi za dvě hodiny začal Twitter pozastavovat všechny účty, které zveřejnily některou z ukradených fotografií, ale podle časové osy zZrcadlo , sociální síť hrála hru na ránu a nové obrázky se objevovaly i přes hodinu poté, co začala jednat.
možnost složky Windows 10
Mary E Winstead se sama vydala na Twitter, aby zavolala jak osobu, která obrázky zveřejnila, tak ty, kteří se na ně dívali.
Ti z vás, kteří se dívají na fotografie, které jsem před lety pořídil s manželem v soukromí našeho domova, doufám, že se budete cítit skvěle.
- Mary E. Winstead (@M_E_Winstead) 31. srpna 2014
Nakonec se však musela stáhnout z platformy, aby se dostala pryč od urážlivých zpráv, které dostávala
Chystáte se na internet. Nebojte se mých @ pro pohled na to, jaké to je být ženou, která na twitteru mluví o všem
- Mary E. Winstead (@M_E_Winstead) 1. září 2014
Mluvčí Jennifer Lawrence již uvedla, že bude podnikat právní kroky proti komukoli, kdo fotografie distribuuje.
Jedná se o zjevné porušení soukromí. Byly kontaktovány úřady a budou stíhány každého, kdo zveřejní ukradené fotografie Jennifer Lawrenceové, uvedli.
V roce 2011 byla přijata podobná akce, kdy byly hacknuty e-maily 50 osobností, včetně Scarlett Johansson a Christiny Aguilery, a ukradeny a veřejně šířeny nahé fotografie.
Po vyšetřování FBI byl pachatel Christopher Chaney z Jacksonville na Floridě odsouzen na deset let vězení.
Bezpečnostní protiopatření
jak vyrobit lektvar požární odolnosti
I když u osob, které nejsou celebritami, je méně pravděpodobné, že budou mít jejich nahé fotografie distribuovány tak široce jako u slavných osobností, stále se to může a stále stává.
Specialisté na zabezpečení uvedli, že tento incident by měl sloužit jako připomínka důležitosti zavedení účinných bezpečnostních opatření pro jakoukoli online službu a povzbudit uživatele, aby si všímali toho, co je nahráno do cloudu.
Vzhledem k tomu, že dnešní zařízení mají velký zájem posílat data do svých příslušných cloudových služeb, měli by si lidé dávat pozor, aby se citlivá média automaticky nenahrávala na web nebo jiná spárovaná zařízení, řekl Chris Boyd, analytik malwarové inteligence společnosti MalwarebytesPC Pro.
Ferguson navrhl, že je možné, že lidé, kteří se stali oběťmi útoku, zapomněli nebo si neuvědomili, že Apple synchronizuje fotografie v uživatelském iPhonu nebo iPadu Photo Stream automaticky s jejich iCloudem.
V tomto případě se zdá, že některé z obětí věřily, že smazání fotografií z jejich telefonů stačilo, uvedl.
Boyd i Ferguson doporučují zjistit, zda a jak jsou prováděny zálohy nebo stínové kopie dat uložených v cloudové službě a jak je lze spravovat.
Stefano Ortolani, výzkumník zabezpečení společnosti Kaspersky Lab, také navrhl, aby si uživatelé vybrali, která data jsou uložena v cloudu, a zakázali automatickou synchronizaci.
Mohli byste také namítnout, že chytré telefony, které jsou neustále připojeny k internetu, nejsou tím nejlepším místem pro nahé fotografie, řekl Boyd - sentiment, který zopakovali Cluley a Ferguson.
PC Prokontaktovala společnost Apple a zeptala se, zda si byla společnost vědoma rozsáhlého hackingu své služby iCloud, ale v době zveřejnění neobdržela odpověď.