21:54
22/3/2013

Jeśli dziś wasz iPhone lub Macbook “sam się skasował” to wiedzcie, że nie był to przypadek. Zapewne ktoś przejął wasze konto iCloud i uruchomił zdalne wymazywanie dysku twardego. Tak — przejęcie dowolnego konta AppleID/iCloud bez znajomości jego hasła jest/było możliwe: wystarczy adres e-mail ofiary i jej data urodzenia

Na czym polega atak?

Dziura pozwalająca przejąć czyjeś konto znajduje (znajdowała?) się na stronie przypominania hasła do iCloud – https://iforgot.apple.com/:

Apple - My Apple ID

Strona iForgot, obecnie ma “przerwe techniczną”…

The Verge przetestował i potwierdził jej działanie. Miała ona polegać jedynie na modyfikacji URL-a na podstronie proszącej o podanie daty urodzenia (podstrona ta jest elementem weryfikacji użytkownika w procesie resetu hasła).

A oto do czego ma dostęp osoba przejmująca czyjeś konto iCloud/AppleID (o ile użytkownik synchronizuje poszczególne typy danych z “chmurą”):

iCloud

iCloud

Jak się zabezpieczyć?

Apple wie już o problemie, zapewne stąd wynika przerwa techniczna na stronie resetu hasła. Na wszelki wypadek warto jednak zabezpieczyć się samemu i włączyć dwustopniowe uwierzytelnienie — Apple dopiero co je wprowadziło:

Dwustopniowe uwierzytelnienie Apple

Dwustopniowe uwierzytelnienie Apple

Niestety, obecnie funkcja ta nie jest jeszcze dostępna dla wszystkich kont…

Dwustopniowe uwierzytelnienie Apple nie jest dostępne dla wszystkich

Dwustopniowe uwierzytelnienie Apple nie jest dostępne dla wszystkich

Dlatego druga opcja to zmiana e-maila lub daty urodzenia na nieprzewidywalną. Można to zrobić w ustawieniach swojego AppleID, w zakładce “Hasła”. Polecamy wykonać jak najszybciej…

Do czego prowadzić może przejęcie konta AppleID pisaliśmy niedawno w artykule wszystkie dane skasowane, wszystkie maile przeczytane.

Podobna dziura pozwalająca na przejęcie dowolnego konta użytkownika bez znajomości jego hasła znajdowała się kilka miesięcy temu w Skype

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. coraz czesciej takie przeoczenia sie zdarzaja (glupie luki w zabezpieczeniach). czyzby technokratow wypieraja jezykoznawcy? to przeciez nie dziura a undocumented feature… Apple powie…

    • “Źle resetujecie swoje hasło”

    • …że wszystkie strony mają taki błąd.

    • … że sami się włamaliście na swoje konto

  2. Niestety, w Polsce dwustopniowe uwierzytelnianie jest niedostępne.

  3. problemy z appleid – status: http://www.apple.com/pl/support/systemstatus/

  4. Ostatnio jest moda na luki w apple. iOS, iOS, a teraz iCloud.

  5. czemu ludzie używają tego przereklamowanego produktu tego zrozumieć nie mogę, czyżby +100 do lansu? :)

    • Bo mimo że kiepski to inne są jeszcze kiepściejsze. Ja właśnie dlatego.

      Kurczę, włączyłbym dwuskładnikowe uwierzytelnianie, gdyby nie:
      “Initially, two-step verification is being offered in the U.S., UK, Australia, Ireland, and New Zealand. Additional countries will be added over time. When your country is added, two-step verification will automatically appear in the Password and Security section of Manage My Apple ID when you sign in to My Apple ID.”
      No i tak jak napisał Max, w Polsce się nie da. Dziwne że inne firmy (Google, Fb) nie miały problemu z udostępnieniem u nas tego zabezpieczenia.

    • Ludzie kupują “prestiż i najwyższą jakość” – normalny klient tej firmy nie zagląda do środka tych urządzeń, a na bezpieczeństwie nie zna się wcale. Ludzie dają się nabierać na legendę i wydaje im się że wysoka cena zapewnia im najlepszą technologię i jakość.

    • Snobizm i lans w naszym kraju to podstawa. Co z tego, że dziurawe, co z tego, że kiepskie, co z tego, że trzeba przepłacać z każdej strony – to jabłko!

    • Mariusz, to że są też gorsze, nie oznacza, że nie ma lepszych.
      Hucul, Apple chyba nawet nie próbuje nikomu wmawiać jakości, a prestiż ludzie sobie sami kulturowo ubzdurali.

    • sugerujesz ze az tylu pustoglowych z wypchanymi kieszeniami szweda sie po swiecie? trybiki swiata pokazuja wrecz przeciwny zwiazek przyczynowo-skutkowy

  6. bo sie dobrze integruje na i-urzadzeniach ?

  7. Te luki są coraz banalniejsze. Paradoksalnie pierwsze co sprawdzam jak chce przejąć gdzieś konto to jak działa przypomnienie/reset hasła.

  8. […] Haha, ale po tym to nikt nie wspomniał ;)https://niebezpiecznik.pl/post/powazn…cloud-appleid/ […]

  9. Ja nie rozumiem jednego. Kto o zdrowych zmysłąch kupuje computer z systemem który pozwala na zdalny format bez pytania o zgodę? Jakim prawem system kasuje cokolwiek LOKALNIE jeśli gdzieś tam pod sufitem (w chmórze) coś się skasowało!!!

    • To zabezpieczenie przeciw kradzieży – jeżeli ukradną Ci komputer, możesz się zalogować do iCloud i zdalnie nakazać mu skasowanie wszystkiego – oczywiście, pod warunkiem że złodziej podepnie go do sieci. Funkcja jest częścią usługi zdalnej lokalizacji, która wg dokumentacji jest domyślnie wyłączona (http://support.apple.com/kb/ph2697).

      Nadmienię, że moim zdaniem scalenie tych dwóch funkcji razem jest pomysłem beznadziejnym, bo w przypadku złamania zabezpieczeń prowadzi właśnie do takich sytuacji jak opisana w artykule – a z tego co widzę, nie da się wyłączyć opcji wymazywania, bez wyłączania całej usługi lokalizacji.

    • nikt nie kradnie iphonow, bo to jest totalny debilzm zlodziejski
      pomysl troche zanim sie wypowiesz – po co mam krasc cos co jest zarejestrowane i przy nastepnej probie kontaktu dokladnie powie gdzie to urzadzenie sie znajduje ? a zabezpiecznia tego sie nie da obejsc, bo inaczej z tego urzadzenia nie mozesz korzystac ?
      ” panie sprzedam ci iphona, tylko sorki ale juz jest zbrickowany…” – debilizm

    • Nie pisałem o iPhone (nie korzystam, więc się nie wypowiadam), lecz o Macach. Pomyśl trochę zanim zaczniesz kogoś oskarżać.

    • angel, naprawdę myślisz, że tego się nie da ominąć?…

    • :) OMG zapewne kobiet ten problem dotknie w mniejszy sposob, ktora bowiem podaje prawdziwa date urodzin!

  10. dobre

  11. Po co ten JAD, sądziłem, że świadomi Informatycy są rozsądniejsi. Niech każdy używa iPhone czy innych Appli skoro chce, skoro dostaje (np. jako sluzbowy), lub jesli np. pracuje w Mediach (bez Maca daleko nie zajedziesz), iPhone ma swoje wady ale ogólnie jest bardzo dobry, nie mówcie że to taki badziew tylko do lansowania (sam nie mam, ale nie uważam że to dno). Po co ten jad i wyśmiewanie Iphone – kiedys to samo bylo z Blackberry – ze to lans, ze to “Dryektor” dostał itp… az spowszedniało. Takie ataki na iPhony są oderwane od rzeczywistości. po prostu: bez przesady Ludzie, wyluzujcie.

    • “Po co ten JAD, sądziłem, że świadomi Informatycy są
      rozsądniejsi[…]” W końcu pierwszy rozsądny komentarz. OS X wcale
      nie jest taki zły jak go sporo osób tutaj pomalowało – a w pewnych
      dziedzinach nawet wiedzie palmę pierwszeństwa (tak tak – wbrew
      pozorom nadal jest szeroko wykorzystywany w branży audio-video). Z
      resztą komentarz który zacytowałem wszystko doskonale ujął
      :-)

  12. […] dwuskładnikowego uwierzytelnienia na koncie Apple (tu pisaliśmy jak to zrobić) wymaga każdorazowo podania kodu, wysyłanego podczas logowania na jedno ze wskazanych iUrządzeń […]

  13. […] pozwalającą na nieuprawniony dostęp do danych użytkowników (to już się zdarzało, por.Dziura w iCloud – jak można było przejąć czyjeś konto Apple? […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.