22:28
1/6/2013

Jeden z pracowników Elcomsoftu zarzuca Apple, że wprowadzone niedawno przez firmę dwuskładnikowe uwierzytenienie nie obejmuje dostępu do backupów iPhonów/iPadów przechowywanych w iCloud.

Luka w Applowym dwuskładnikowym uwierzytelnieniu

Włączenie dwuskładnikowego uwierzytelnienia na koncie Apple (tu pisaliśmy jak to zrobić) wymaga każdorazowo podania kodu, wysyłanego podczas logowania na jedno ze wskazanych iUrządzeń należących do właściciela konta. O kod zostaniemy poproszeni w przypadku:

  • logowania do usługi My Apple ID
  • kupowania w iTunes, AppStore lub iBookstore na nowym urządzeniu
  • zgłoszeń w supporcie
Dwuskładnikowe uwierzytelnienie na koncie Apple

Dwuskładnikowe uwierzytelnienie na koncie Apple

Można pobrać backup z iCloud znając tylko login i hasło, pomimo włączonego dwuskładnikowego uwierzytelnienia

Vladimir Katalov zauważa, że atakujący, który przechwyci tylko login i hasło ofiary, może podpiąć się do iCloud i ściągnąć zeń backupy nawet jeśli ofiara ma włączone dwuskładnikowe uwierzytelnienie i oczywiście o ile jej iUrządzenia synchronizują się z iCloud (bo przecież wcale nie muszą). Z jakiegoś powodu, Apple zadecydowało, że dostęp do backupów nie zostanie objęty dwuskładnikowym uwierzytelnieniem.

Ważna uwaga dla włamywaczy ;)

Atak należy jednak przeprowadzić w umiejętny sposób — jedynie skorzystanie z produkowanego przez Elcomsoft oprogramowania o nazwie Phone Password Breaker da nam niezauważony przez ofiarę dostęp do jej backupów. Jeśli bowiem pokusimy się o odtworzenie “świeżego” telefonu z backupu ofiary przechowywanego w iCloud, to ofiara się o tym dowie — Apple automatycznie wysyła jej e-maila.

Pobieranie backupu iCloud nie wymaga podania jednorazowego hasła

Pobieranie backupu iCloud nie wymaga podania jednorazowego hasła przy włączonym dwuskładnikowym uwierzytelnieniu.

Małe kłamstwo Vladimira w jego poście

Vladimir w swoim poście lamentował także, że kod wysyłany w ramach dwuskładnikowego uwierzytelnienia trafia bezpośrednio na ekran telefonu i każda postronna osoba może go odczytać — ale nie do końca jest to prawdą. Jeśli telefon jest zablokowany hasłem, kodu nie widać na ekranie (autor niestety koryguje ten zarzut dopiero na samym dole swojego artykułu…) — poniższy screenshot Vladimir wykonał, jakże wygodnie, na niechronionym hasłem dostępowym iPhonie:

iPhone - dwuskładnikowe uwierzytelnienie - kod jednorazowy

iPhone – dwuskładnikowe uwierzytelnienie – kod jednorazowy otrzymany na telefonie bez ustawionego hasła blokady ekranu.

PS. Jeśli jeszcze nie włączyliście dwuskładnikowego uwierzytelnienia na swoim koncie, warto to zrobić. Pamiętajcie, żę osoba, która przejmie kontrolę nad Waszym kontem Appple może sporo namieszać ;-)

Przeczytaj także:

8 komentarzy

Dodaj komentarz
  1. “PS. Jeśli jeszcze nie włączyliście dwuskładnikowego uwierzytelnienia na swoim koncie, warto to zrobić. Pamiętajcie, żę osoba, która przejmie kontrolę nad Waszym kontem Appple może sporo namieszać ;-)”

    Nie możemy tego zrobić bo w Polsce to jeszcze nie działa :-)

  2. 23 marzec – “Apple dopiero co je wprowadziło: Niestety, obecnie funkcja ta nie jest jeszcze dostępna dla wszystkich kont…” Trudno, poczekam. Dzisiaj mamy czerwiec, a wciąż opcji dwuskładnikowego zabezpieczenia na moim profilu brak…

  3. Tak, włączcie sobie. Szczególnie na koncie z polskim adresem.

  4. Apple dało to Polsce w ustawieniach na jeden dzien – pojawiło sie w piątek i zacząć działać miało w poniedziałek. I zniknęło. Bez śladu.

  5. > poniższy screenshot Vladimir wykonał, jakże wygodnie, na niechronionym hasłem dostępowym iPhonie

    A na screenshocie jak byk “iPod” :P

  6. A dokładniej, o dostępności dwuskładnikowego
    uwierzytelnienia, poczytamy na:
    http://support.apple.com/kb/HT5570?viewlocale=pl_PL “W których
    krajach dostępna jest dwustopniowa weryfikacja? Na razie
    dwustopniowa weryfikacja jest oferowana w Stanach Zjednoczonych,
    Wielkiej Brytanii, Australii, Irlandii i Nowej Zelandii. Z czasem
    lista krajów się powiększy. Gdy trafi na nią Twój kraj, opcje
    dwustopniowej weryfikacji pojawią się automatycznie w sekcji Hasło
    i zabezpieczenia na stronie zarządzania identyfikatorem Apple ID
    dostępnej po zalogowaniu się w witrynie Mój Apple ID.”

  7. […] korzystają ofiary i zgrywają z nich wszystko, nie tylko zdjęcia. Ripperzy korzystają np. z tego narzędzia Elcomsoftu, które pozwala podpiąć się do chmury udając iPhone’a, o powoduje odesłanie (i […]

  8. […] tuż po złamaniu przez włamywacza hasła do konta iCloud, można posłużyć się narzędziem Elcomsoft Phone Password Breaker, które pozwoli wykraść nie tylko to co widać na koncie iCloud z poziomu przeglądarki, ale […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.