1/6/2013
Jeden z pracowników Elcomsoftu zarzuca Apple, że wprowadzone niedawno przez firmę dwuskładnikowe uwierzytenienie nie obejmuje dostępu do backupów iPhonów/iPadów przechowywanych w iCloud.
Luka w Applowym dwuskładnikowym uwierzytelnieniu
Włączenie dwuskładnikowego uwierzytelnienia na koncie Apple (tu pisaliśmy jak to zrobić) wymaga każdorazowo podania kodu, wysyłanego podczas logowania na jedno ze wskazanych iUrządzeń należących do właściciela konta. O kod zostaniemy poproszeni w przypadku:
- logowania do usługi My Apple ID
- kupowania w iTunes, AppStore lub iBookstore na nowym urządzeniu
- zgłoszeń w supporcie
Można pobrać backup z iCloud znając tylko login i hasło, pomimo włączonego dwuskładnikowego uwierzytelnienia
Vladimir Katalov zauważa, że atakujący, który przechwyci tylko login i hasło ofiary, może podpiąć się do iCloud i ściągnąć zeń backupy nawet jeśli ofiara ma włączone dwuskładnikowe uwierzytelnienie i oczywiście o ile jej iUrządzenia synchronizują się z iCloud (bo przecież wcale nie muszą). Z jakiegoś powodu, Apple zadecydowało, że dostęp do backupów nie zostanie objęty dwuskładnikowym uwierzytelnieniem.
Ważna uwaga dla włamywaczy ;)
Atak należy jednak przeprowadzić w umiejętny sposób — jedynie skorzystanie z produkowanego przez Elcomsoft oprogramowania o nazwie Phone Password Breaker da nam niezauważony przez ofiarę dostęp do jej backupów. Jeśli bowiem pokusimy się o odtworzenie “świeżego” telefonu z backupu ofiary przechowywanego w iCloud, to ofiara się o tym dowie — Apple automatycznie wysyła jej e-maila.
Małe kłamstwo Vladimira w jego poście
Vladimir w swoim poście lamentował także, że kod wysyłany w ramach dwuskładnikowego uwierzytelnienia trafia bezpośrednio na ekran telefonu i każda postronna osoba może go odczytać — ale nie do końca jest to prawdą. Jeśli telefon jest zablokowany hasłem, kodu nie widać na ekranie (autor niestety koryguje ten zarzut dopiero na samym dole swojego artykułu…) — poniższy screenshot Vladimir wykonał, jakże wygodnie, na niechronionym hasłem dostępowym iPhonie:
PS. Jeśli jeszcze nie włączyliście dwuskładnikowego uwierzytelnienia na swoim koncie, warto to zrobić. Pamiętajcie, żę osoba, która przejmie kontrolę nad Waszym kontem Appple może sporo namieszać ;-)
“PS. Jeśli jeszcze nie włączyliście dwuskładnikowego uwierzytelnienia na swoim koncie, warto to zrobić. Pamiętajcie, żę osoba, która przejmie kontrolę nad Waszym kontem Appple może sporo namieszać ;-)”
Nie możemy tego zrobić bo w Polsce to jeszcze nie działa :-)
23 marzec – “Apple dopiero co je wprowadziło: Niestety, obecnie funkcja ta nie jest jeszcze dostępna dla wszystkich kont…” Trudno, poczekam. Dzisiaj mamy czerwiec, a wciąż opcji dwuskładnikowego zabezpieczenia na moim profilu brak…
Tak, włączcie sobie. Szczególnie na koncie z polskim adresem.
Apple dało to Polsce w ustawieniach na jeden dzien – pojawiło sie w piątek i zacząć działać miało w poniedziałek. I zniknęło. Bez śladu.
> poniższy screenshot Vladimir wykonał, jakże wygodnie, na niechronionym hasłem dostępowym iPhonie
A na screenshocie jak byk “iPod” :P
A dokładniej, o dostępności dwuskładnikowego
uwierzytelnienia, poczytamy na:
http://support.apple.com/kb/HT5570?viewlocale=pl_PL “W których
krajach dostępna jest dwustopniowa weryfikacja? Na razie
dwustopniowa weryfikacja jest oferowana w Stanach Zjednoczonych,
Wielkiej Brytanii, Australii, Irlandii i Nowej Zelandii. Z czasem
lista krajów się powiększy. Gdy trafi na nią Twój kraj, opcje
dwustopniowej weryfikacji pojawią się automatycznie w sekcji Hasło
i zabezpieczenia na stronie zarządzania identyfikatorem Apple ID
dostępnej po zalogowaniu się w witrynie Mój Apple ID.”
[…] korzystają ofiary i zgrywają z nich wszystko, nie tylko zdjęcia. Ripperzy korzystają np. z tego narzędzia Elcomsoftu, które pozwala podpiąć się do chmury udając iPhone’a, o powoduje odesłanie (i […]
[…] tuż po złamaniu przez włamywacza hasła do konta iCloud, można posłużyć się narzędziem Elcomsoft Phone Password Breaker, które pozwoli wykraść nie tylko to co widać na koncie iCloud z poziomu przeglądarki, ale […]