Hromada fotek odhalených celebrit skutečně pochází z jejich iPhonů a útočníci se k nim dostali přes iCloud. O tom není pochyb. Apple však popřel, že by chyba byla na jeho straně.
Chvíli to trvalo, ale Apple se konečně oficiálně vyjádřil k pondělnímu úniku fotografií celebrit. Ten vzbudil pozornost nejen v bulvárních médiích, protože leckteré fotky byly značně choulostivé, ale také těch technických, protože fotografie údajně unikly z cloudového úložiště Applu. Apple nepřímo potvrdil nejpravděpodobnější postup, kterým útočníci přístup k účtům získali, ale vinu svedl na samotné uživatele.
Oficiální vyjádření Applu:
„Chtěli bychom vás informovat o našem vyšetřování v případě krádeže fotek některých celebrit. Když jsme se o krádeži dozvěděli, byli jsme pobouřeni a okamžitě jsme mobilizovali inženýry Applu, aby zjistili zdroj úniku. Soukromí a bezpečnost našich zákazníků je totiž pro nás to nejdůležitější. Po více než 40 hodinách vyšetřování jsme zjistili, že účty dotčených celebrit byly napadeny útokem cíleným na uživatelská jména, hesla a bezpečnostní otázky, což je běžná praxe všude na internetu. Žádný z případů, který jsme prošetřovali, nebyl vyhodnocen jako průnik do některého systému Applu, včetně iCloudi nebo funkce Find my iPhone. Pokračujeme ve spolupráci s policií, abychom pomohli najít viníky.
K ochraně proti tomuto typu útoku doporučujeme všem uživatelům vždy používat silná hesla a zapnout si dvoufázové ověřování. O obou možnostech více na našem webu: http://support.apple.com/kb/ht4232“
500 nejpoužívanějších hesel stačí k úspěchu
Před útokem se totiž na Githubu objevil skript, který umožnil opakované hádání hesel ke službě Find my iPhone. Ta slouží k vyhledání zapomenutého či odcizeného iPhonu tím, že se uživatel přihlásí pod svým uživatelským účtem a následně se mu na mapě zobrazí poslední známá poloha jeho telefonu. K přihlášení se tu tedy používá Apple ID, uživatelský účet do systému Applu, kterým se lze dostat i k obsahu samotného iCloudu.
Find my iPhone. Pravděpodobné slabé místo, kde bylo možné provést automatizované hádání hesel opakovanými pokusy pro přihlášní.
Webové služby jsou zpravidla chráněny před opakovanými pokusy o uhádnutí hesla omezeným počtem pokusů, což platí i o iCloudu. Jenomže v případě přímého přístupu k Find my iPhone tato ochrana chyběla. Apple tuto chybu záhy opravil, ale to už bylo pozdě. Útočníci vzali 500 nejpoužívanějších hesel (ty jsou známy z mnoha úniků) a postupně je aplikovali na účty s uživatelskými jmény, které by teoreticky mohly patřit celebritám.
Několik set opakovaných pokusů k uhodnutí hesla ke každému účtu ještě nestačilo automatickým kontrolním mechanismům Applu na to, aby konání vyhodnotily jako útok a majitele účtu přinejmenším informovaly na e-mail.
Chraňte si své cloudy
Tento postup Apple oficiálně nepotvrdil, uvedli ho samotní údajní autoři úniku. Ale nikdo už o tom moc nepochybuje. Ostatně, to že Apple záhy chybu opravil a přihlášení na Find my iPhone omezil jen na pět pokusů, možnost využití této cesty nepřímo potvrzuje.
Se znalostí Apple ID už se dá jednoduše dostat ke všem údajům v iCloudu. Zajímavý mohl být u mnohých pohled do adresáře či kalendáře, nejlákavější ale pochopitelně byly fotky. Z iPhonu se totiž na iCloud posílají automaticky, takže veškeré mobilní momentky jsou k nalezení i v cloudu.
Na začátku to byla vlastně jen malá šance – musíte uhodnout uživatelské jméno, k tomu heslo a cílená celebrita musí mít navíc iPhone. Ale jak se ukázalo, úspěšnost byla nakonec docela vysoká. Popularita produktů Applu mezi celebritami je totiž značná, ale osvěta ohledně zabezpečení uživatelských účtů na internetu zjevně chabá. Focení sebe samotných včetně choulostivých záběrů je pak možná přirozenou vlastností celebrit…
Je pravděpodobné, že při útoku na celebrity byla stejným způsobem odhalena hromada dalších uživatelských účtů běžných lidí, kteří používají podobná přihlašovací jména. Chcete-li se vyhnout podobným útokům, ochrana je triviální, prostě zajistěte své internetové účty dobrými hesly a pokud to jde, využijte dvoufázové ověřování.
