Михал Жданский Хэдэн өдрийн турш Apple-ийн дотоод шалгалтын дараа тус компани энэ талаар мэдэгдэл гаргажээ зарим алдартнуудын iCloud хаягийг хакердсан, түүний нарийн зургууд олон нийтэд цацагдсан. Apple-ийн мэдээлснээр, iCloud болон Find My iPhone үйлчилгээг хакердсаны улмаас зураг задраагүй, учир нь хакерууд гэрэл зургуудыг хэрхэн олж авснаар Калифорнийн компанийн инженерүүд хэрэглэгчийн нэр, нууц үг, аюулгүй байдлын асуултуудад чиглэсэн халдлагыг тогтоосон байна. Гэхдээ тэд iCloud дээрх зургуудыг хэрхэн олж авсан талаар тайлбар хийгээгүй байна.
Wired-ийн мэдээлснээр нууц үгийг төрийн байгууллагуудад ашигладаг шүүх шинжилгээний программ ашиглан эвдсэн байна. Мэдээллийн самбар дээр Анон-IB, хэд хэдэн алдартнуудын зураг гарч ирэхэд зарим гишүүд нэрийн өмнөөс программ хангамжийг ашиглах талаар илэн далангүй ярилцав ElcomSoft утасны нууц үг таслагч. Энэ нь iPhone болон iPad-аас нөөц файлуудыг бүхэлд нь татаж авахын тулд олж авсан хэрэглэгчийн нэр, нууц үгээ оруулах боломжийг олгоно. Wired-ээс ярилцлага авсан аюулгүй байдлын шинжээчийн хэлснээр гэрэл зургуудын мета өгөгдөл нь дээрх програм хангамжийн хэрэглээтэй таарч байна.
Хакерууд зөвхөн хэрэглэгчийн нэр (Apple ID) болон нууц үгээ олж авах ёстой байсан бөгөөд энэ програмыг ашиглан өмнө дурдсан аргын ачаар ийм амжилтанд хүрсэн байх магадлалтай. iBrute "Find My iPhone"-ийн эмзэг байдлын хамт халдагчид оролдлогын тоонд хязгаарлалтгүйгээр нууц үгийг таах боломжийг олгосон. Apple энэ эмзэг байдлыг илрүүлсний дараахан зассан. Хакерын халдлагад өртсөн хүмүүс утсанд илгээсэн кодыг оруулах шаардлагатай хоёр шатлалт баталгаажуулалтыг ашиглаагүй нь бас том үүрэг гүйцэтгэсэн. Хоёр шаттай баталгаажуулалт нь iCloud нөөцлөлт болон Photo Stream үйлчилгээнд хамаарахгүй боловч эхний ээлжинд хэрэглэгчийн нэрийн нууц үгийг олж авахад илүү хэцүү байх болно гэдгийг тэмдэглэх нь зүйтэй.
Гэсэн хэдий ч хоёр шатлалт баталгаажуулалттай байсан ч iCloud нь тийм ч сайн хамгаалалтгүй байдаг. Серверийн Майкл Роузын олж мэдсэнээр TUAW, Photo Stream, Safari нөөцлөлт болон и-мэйл мессежийг шинэ Apple компьютерт синк хийх үед хэрэглэгчдэд шинэ компьютерээс өгөгдөлд хандсан гэсэн анхааруулга байхгүй болно. Зөвхөн Apple ID болон нууц үгийн мэдлэгтэй бол хэрэглэгчийн мэдэлгүйгээр дурдсан контентыг татаж авах боломжтой байв. Таны харж байгаагаар Apple-ийн үүлэн үйлчилгээнд хэрэглэгч хоёр шатлалт баталгаажуулалтаар хамгаалагдсан байсан ч, жишээлбэл, Чех эсвэл Словак улсад байхгүй хэвээр байгаа ч зарим хагаралтай хэвээр байна. Ямартай ч энэ хэргийн дараа Apple-ийн хувьцаа дөрвөн хувиар унасан.
Утсан дээрээ дэндүү энгийн нууц үгтэй, порно зурагтай хэдэн алдартнууд ийм том компанийн хувьцааг хөдөлгөж чаддагт та итгэхгүй байх :)
Хэрэглэгчид мэдээлэл алдаж, нууцлал бага зэрэг алдагдаж байгаатай салшгүй холбоотой байдаг тул энэ тохиолдолд хувьцааны ханш унах нь төгс төгөлдөр юм. Наад зах нь энэ нь аюулгүй байдалд анхаарлаа хандуулж сурч байгаа бөгөөд хэрэглэгчид бид ядаж сайн байх болно ;-).
Тиймээс зарим нэг толь бичгийн дагуу байнга хэрэглэгддэг бүх нууц үгийг туршиж үзэхийн тулд туршилт/алдааны аргыг ашигладаг iBrute програмыг ашиглан нууц үгүүдийг эвдсэн. Сул тал нь хохирогчид толь бичиг эсвэл сул нууц үгтэй байсан бөгөөд Apple энэ аргыг (жишээ нь, нэг минутанд бүтэлгүйтсэн оролдлогын тоог хязгаарлах замаар) Миний утсыг олох (одоо зассан) дээр хориглоогүй явдал байв. Тэд нууц үгтэй болмогц тэд хүссэн бүхнээ хийх боломжтой болсон. Гэсэн хэдий ч ижил Apple ID-тай өөр төхөөрөмжийн бүртгэлийн талаарх мэдээллийг илчлэхгүйн тулд тэд EPPB програмыг ашиглан iCloud-аас iPhone-ийн бүрэн нөөцлөлтийг татаж авч, уг програмыг ашиглан нөөцлөлтөөс зургуудыг гаргаж авсан. Дүгнэлт - сайн нууц үг бол зүгээр л зайлшгүй зүйл юм.
Энэ нь бас төлбөртэй нүүдэл байсан бол би гайхахгүй. супер шинэ зүйлсийг нэвтрүүлэхээс хэдхэн хоногийн өмнө Apple-ийн аварга компанид аль болох их шороо хаях. Энэ нь бас яаж байсан байж болох хувилбаруудын нэг юм. Хүн өнөөдөр хувьцааны талаар догдлохын тулд ямар мэдрэмжтэй болохыг ойлгоход л хангалттай. Гэхдээ хамгийн шилдэг нь үргэлж эргэлддэг, энэ нь өөрчлөгдөхгүй.
Хэрэглэгчид мэдээлэл алдаж, нууцлал бага зэрэг алдагдаж байгаатай салшгүй холбоотой байдаг тул энэ тохиолдолд хувьцааны ханш унах нь төгс төгөлдөр юм. Наад зах нь энэ нь аюулгүй байдалд анхаарлаа хандуулж сурч байгаа бөгөөд хэрэглэгчид бид ядаж сайн байх болно ;-).
Мэдээжийн хэрэг, Apple хэзээ ч юу ч төлдөггүй. Ямар ч байсан зөвлөлөө хамгаалахаа боль. Энэ нь аль хэдийн ичмээр юм. Тэд зүгээр л хуваалцсан
Өнөөдөр л би "checkauth@apple.com"-оос имэйл хүлээн авлаа. Энэ нь яг Apple-тай төстэй бөгөөд миний ашигладаггүй програмыг миний данснаас татсан гэж бичсэн байна. Нууц үгээ солихоор очиход тэр намайг Apple.com шиг харагдах хуудас руу дахин чиглүүлсэн боловч URL хаяг нь илт өөр байна.