Balic szerint az általa jelentett sebezhetőség ugyanaz, mint amit a támadók a Celebgate (másnéven Fappening) néven elhíresült adatlopásnál is kihasználtak.
A londoni szoftverfejlesztő már március 26-án írt az Apple-nek a problémáról,ők a hiba kijavítása helyett csak további információkat kértek Balic-től. Az értesítésében felhívta az Apple figyelmét,hogy sikerült megkerülnie az egyik védelmi rendszerüket. Ez a védelmi rendszer az ún. brute force támadások blokkolására szolgál (erről a hacker programról az előző posztban már volt szó).
Ez a védelmi rendszer nem túl hatékony,általában úgy védekeznek ellene, hogy korlátozzák a bejelentkezési kísérletek számát. Balic viszont értesítette az Apple-t, hogy akár húszezerszer is próbálkozhatott egy-egy profilon, a rendszer mégsem tiltotta le.
Kiderült, hogy a sebezhetőség előidézője a Find My Phone szolgálatás,amely konkrétan engedélyezte a hackereknek hogy annyiszor próbálkozzanak a jelszavakkal, ahányszor akarnak, anélkül hogy az "áldozat" bármiféle értesítést kapna,vagy a rendszer kizárná.
Ha a brute force módszerrel sikerül megszerezni a jelszót – és így, letiltás nélkül ez csak idő kérdése volt –, onnantól már az Icloud további szolgáltatásai is hozzáférhetővé válnak.
Az Apple azóta korrigálta a hibát. Balic azonban elégedetlen volt azzal, ahogy az Apple a helyzetet kezelte; ezért úgy döntött hogy nyilvánosságra hozza a levelezést. A szoftverfejlesztő úgy gondolja,hogy ha az Apple komolyabban vette volna a fenyegetést, ez a botrány nem történik meg.
forrás1
forrás2
Nincsenek megjegyzések:
Megjegyzés küldése