22/3/2013
Jeśli dziś wasz iPhone lub Macbook “sam się skasował” to wiedzcie, że nie był to przypadek. Zapewne ktoś przejął wasze konto iCloud i uruchomił zdalne wymazywanie dysku twardego. Tak — przejęcie dowolnego konta AppleID/iCloud bez znajomości jego hasła jest/było możliwe: wystarczy adres e-mail ofiary i jej data urodzenia…
Na czym polega atak?
Dziura pozwalająca przejąć czyjeś konto znajduje (znajdowała?) się na stronie przypominania hasła do iCloud – https://iforgot.apple.com/:
The Verge przetestował i potwierdził jej działanie. Miała ona polegać jedynie na modyfikacji URL-a na podstronie proszącej o podanie daty urodzenia (podstrona ta jest elementem weryfikacji użytkownika w procesie resetu hasła).
A oto do czego ma dostęp osoba przejmująca czyjeś konto iCloud/AppleID (o ile użytkownik synchronizuje poszczególne typy danych z “chmurą”):
Jak się zabezpieczyć?
Apple wie już o problemie, zapewne stąd wynika przerwa techniczna na stronie resetu hasła. Na wszelki wypadek warto jednak zabezpieczyć się samemu i włączyć dwustopniowe uwierzytelnienie — Apple dopiero co je wprowadziło:
Niestety, obecnie funkcja ta nie jest jeszcze dostępna dla wszystkich kont…
Dlatego druga opcja to zmiana e-maila lub daty urodzenia na nieprzewidywalną. Można to zrobić w ustawieniach swojego AppleID, w zakładce “Hasła”. Polecamy wykonać jak najszybciej…
Do czego prowadzić może przejęcie konta AppleID pisaliśmy niedawno w artykule wszystkie dane skasowane, wszystkie maile przeczytane.
coraz czesciej takie przeoczenia sie zdarzaja (glupie luki w zabezpieczeniach). czyzby technokratow wypieraja jezykoznawcy? to przeciez nie dziura a undocumented feature… Apple powie…
“Źle resetujecie swoje hasło”
…że wszystkie strony mają taki błąd.
… że sami się włamaliście na swoje konto
Niestety, w Polsce dwustopniowe uwierzytelnianie jest niedostępne.
problemy z appleid – status: http://www.apple.com/pl/support/systemstatus/
Ostatnio jest moda na luki w apple. iOS, iOS, a teraz iCloud.
czemu ludzie używają tego przereklamowanego produktu tego zrozumieć nie mogę, czyżby +100 do lansu? :)
Bo mimo że kiepski to inne są jeszcze kiepściejsze. Ja właśnie dlatego.
Kurczę, włączyłbym dwuskładnikowe uwierzytelnianie, gdyby nie:
“Initially, two-step verification is being offered in the U.S., UK, Australia, Ireland, and New Zealand. Additional countries will be added over time. When your country is added, two-step verification will automatically appear in the Password and Security section of Manage My Apple ID when you sign in to My Apple ID.”
No i tak jak napisał Max, w Polsce się nie da. Dziwne że inne firmy (Google, Fb) nie miały problemu z udostępnieniem u nas tego zabezpieczenia.
Ludzie kupują “prestiż i najwyższą jakość” – normalny klient tej firmy nie zagląda do środka tych urządzeń, a na bezpieczeństwie nie zna się wcale. Ludzie dają się nabierać na legendę i wydaje im się że wysoka cena zapewnia im najlepszą technologię i jakość.
Snobizm i lans w naszym kraju to podstawa. Co z tego, że dziurawe, co z tego, że kiepskie, co z tego, że trzeba przepłacać z każdej strony – to jabłko!
Mariusz, to że są też gorsze, nie oznacza, że nie ma lepszych.
Hucul, Apple chyba nawet nie próbuje nikomu wmawiać jakości, a prestiż ludzie sobie sami kulturowo ubzdurali.
sugerujesz ze az tylu pustoglowych z wypchanymi kieszeniami szweda sie po swiecie? trybiki swiata pokazuja wrecz przeciwny zwiazek przyczynowo-skutkowy
bo sie dobrze integruje na i-urzadzeniach ?
Te luki są coraz banalniejsze. Paradoksalnie pierwsze co sprawdzam jak chce przejąć gdzieś konto to jak działa przypomnienie/reset hasła.
[…] Haha, ale po tym to nikt nie wspomniał ;)https://niebezpiecznik.pl/post/powazn…cloud-appleid/ […]
Ja nie rozumiem jednego. Kto o zdrowych zmysłąch kupuje computer z systemem który pozwala na zdalny format bez pytania o zgodę? Jakim prawem system kasuje cokolwiek LOKALNIE jeśli gdzieś tam pod sufitem (w chmórze) coś się skasowało!!!
To zabezpieczenie przeciw kradzieży – jeżeli ukradną Ci komputer, możesz się zalogować do iCloud i zdalnie nakazać mu skasowanie wszystkiego – oczywiście, pod warunkiem że złodziej podepnie go do sieci. Funkcja jest częścią usługi zdalnej lokalizacji, która wg dokumentacji jest domyślnie wyłączona (http://support.apple.com/kb/ph2697).
Nadmienię, że moim zdaniem scalenie tych dwóch funkcji razem jest pomysłem beznadziejnym, bo w przypadku złamania zabezpieczeń prowadzi właśnie do takich sytuacji jak opisana w artykule – a z tego co widzę, nie da się wyłączyć opcji wymazywania, bez wyłączania całej usługi lokalizacji.
nikt nie kradnie iphonow, bo to jest totalny debilzm zlodziejski
pomysl troche zanim sie wypowiesz – po co mam krasc cos co jest zarejestrowane i przy nastepnej probie kontaktu dokladnie powie gdzie to urzadzenie sie znajduje ? a zabezpiecznia tego sie nie da obejsc, bo inaczej z tego urzadzenia nie mozesz korzystac ?
” panie sprzedam ci iphona, tylko sorki ale juz jest zbrickowany…” – debilizm
Nie pisałem o iPhone (nie korzystam, więc się nie wypowiadam), lecz o Macach. Pomyśl trochę zanim zaczniesz kogoś oskarżać.
angel, naprawdę myślisz, że tego się nie da ominąć?…
:) OMG zapewne kobiet ten problem dotknie w mniejszy sposob, ktora bowiem podaje prawdziwa date urodzin!
dobre
Po co ten JAD, sądziłem, że świadomi Informatycy są rozsądniejsi. Niech każdy używa iPhone czy innych Appli skoro chce, skoro dostaje (np. jako sluzbowy), lub jesli np. pracuje w Mediach (bez Maca daleko nie zajedziesz), iPhone ma swoje wady ale ogólnie jest bardzo dobry, nie mówcie że to taki badziew tylko do lansowania (sam nie mam, ale nie uważam że to dno). Po co ten jad i wyśmiewanie Iphone – kiedys to samo bylo z Blackberry – ze to lans, ze to “Dryektor” dostał itp… az spowszedniało. Takie ataki na iPhony są oderwane od rzeczywistości. po prostu: bez przesady Ludzie, wyluzujcie.
“Po co ten JAD, sądziłem, że świadomi Informatycy są
rozsądniejsi[…]” W końcu pierwszy rozsądny komentarz. OS X wcale
nie jest taki zły jak go sporo osób tutaj pomalowało – a w pewnych
dziedzinach nawet wiedzie palmę pierwszeństwa (tak tak – wbrew
pozorom nadal jest szeroko wykorzystywany w branży audio-video). Z
resztą komentarz który zacytowałem wszystko doskonale ujął
:-)
[…] dwuskładnikowego uwierzytelnienia na koncie Apple (tu pisaliśmy jak to zrobić) wymaga każdorazowo podania kodu, wysyłanego podczas logowania na jedno ze wskazanych iUrządzeń […]
[…] pozwalającą na nieuprawniony dostęp do danych użytkowników (to już się zdarzało, por.Dziura w iCloud – jak można było przejąć czyjeś konto Apple? […]