Cît de sigur e iCloud (apropo de Fappening)

Rapid, pînă nu se apucă toată presa românească să traducă articole de-afară, scrise în grabă. Nu, iCloud n-a fost spart, aşa cum se sugerează pe diverse site-uri. Pozele cu vedete goale (precum Jennifer Lawrence sau Kate Upton) nu au fost descărcate din cloud-ul Apple decît dacă vedetele sînt proaste grămadă.

touch-id

 

Să explic repede cum funcţionează iCloud: în fiecare noapte, cînd telefonul e în priză şi e conectat la reţeaua wireless, îşi face backup. Asta înseamnă poze, muzică, SMS-uri, tot tacîmul. Dacă cineva sparge parola contului iCloud, ca să poată descărca tot conţinutul din cloud-ul Apple, trebuie să folosească o maşină pe care rulează iOS sau OSX. Adică e obligat fie să facă restore la ultimul backup de iPad sau iPhone al proprietarului de drept al contului, fie să se logheze de pe un Mac (din System Preferences) şi să sincronizeze Photostream. Pe Mac, asta se face din aplicaţia iPhoto.

Doar că lucrurile se complică pentru oricine ar putea avea acces la parola ta de iCloud şi ar vrea să descarce orice informaţie din cloud-ul Apple. În momentul în care alt device (iPhone, iPad sau Mac) se loghează cu datele tale, Apple îţi trimite imediat un mail, pe adresa care serveşte ca username, în care îţi spune că o nouă maşină s-a logat cu datele tale. Ba îţi oferă şi numele ei (de exemplu, “Hacker’s MacBook Air” sau numele telefonul sau iPad-ului.) În plus, îţi trimite notificări de tip push şi pe toate celelalte device-urile tale. Deci, dacă ai un Mac pe care te-ai logat la iCloud, ai iPhone şi ai şi iPad, vei primi pe toate trei cîte o notificare.

Notificările astea se trimit aproape instant (chestie de cîteva secunde), astfel încît îţi lasă suficient timp să îţi schimbi parola. Dacă îţi schimbi parola de iCloud imediat ce primeşti notificarea, nici un hacker n-o să poată descărca suficient de repede pozele. Practic, în momentul în care iPhoto încearcă să se conecteze la cloud, i se va cere parola nouă. Timpul de sincronizare e aproape inexistent, deci nu ar avea nimeni timp să îţi copieze pozele din cloud. Aşadar, ar trebui să fii foarte, foarte prost ca să nu schimbi parola imediat sau să nu ai acces nici măcar la mobil ca să nu te prinzi.

Cu un pic de baftă, or citi articolul ăsta şi ziariştii panicarzi, pregătiţi să traducă rapid orice text de-afară pe tema asta.

PS: În cazul extrem, în care, să zicem, cineva se loghează cu contul tău cînd dormi, vei găsi notificarea dimineaţă. Dacă te ştii că ai poze compromiţătoare în telefon, poţi suna imediat la Apple şi face o reclamaţie. Apple poate furniza poliţiei date precum IP-ul de pe care s-a logat infractorul, serialul device-ului etc.

13 comentarii

  1. c’o fi sau n’o fi sigur icloud’ul, pe mine mă interesează mai tare dacă poza asta a fost sau nu făcută cu aifonu’?!?
    dacă da, fotograful are admirația mea în aceeași măsură în care o are și modelul! :)
    p.s. poza e din seria vedetelor goale hăcuite despre care se vorbește mai sus…

  2. Ce simplu e totul ! Ar trebui sa te faci consultant pe securitate IT. Acum serios , ip-ul ala e trecut prin proxy si chiar de dau de el e probabil dintr-un mcdonalds sau vreo alta retea nesecurizata.
    Device-ul e un hackintosh rulat pe o masina virtuala, serialul e generat. Hardul care a tinut totul e demult prajit si facut bucati. Sunt reguli simple general valabile pentru cei care fac de astea.

    Apple si-a luat-o cu icloud, trebuiau sa previna si sa ia in calcul si factorul uman. E usor sa dai vina pe victime , cum nu au stat ei treji pana la 6 dimineata sa isi verifice push notifications.
    Solutia era simpla , two-factor authentication implementata by default, dar deh nu poate fi si simplu si sigur .

  3. Dar daca device-ul cel nou se numeste “my iphone” si tu nu esti un security freak si ai incredere ca apple nu lasa oamenii rai sa intre cu userul/parola ta?

  4. The vulnerability allegedly discovered in the Find my iPhone service appears to have allowed attackers to use this method to guess passwords repeatedly without any sort of lockout or alert to the target. Once the password has been eventually matched, the attacker can then use it to access other iCloud functions freely.

    http://9to5mac.com/2014/09/01/vulnerability-in-find-my-phone-service-and-weak-passwords-may-explain-alleged-celebrity-photo-leaks/

  5. Ars zice altceva http://arstechnica.com/security/2014/09/what-jennifer-lawrence-can-teach-you-about-cloud-security/.
    Plus că spunea și acum un an ceva similar (vezi ce a zis Al): http://arstechnica.com/security/2013/05/icloud-users-take-note-apple-two-step-protection-wont-protect-your-data

    Până se limpezesc apele și detaliile devin mai clare tind să îi cred pe ei.

  6. Schema logica a unor oameni :
    1. Daca un alt software are o vulnerabilitate atunci e super-nashpa, nasol, incredibil de prost etc.
    2. Daca un soft Apple are o vulnerabilitate atunci e doar din cauza ca userii sunt prosti
    gramada, altfel tot ce e Apple e perfect.

    Problema aici a fost o vulnerabilitate in “Find my iPhone” pe care un idiot a exploatat-o utilizand o metoda veche de cand lumea (Brute force). Apple a si patch-uit gaura intre timp. Nimeni nu e perfect, nici macar Apple.

  7. Alex,
    Nu mai fi așa fan-boy :) iCloud nu e nici pe departe impenetrabil.
    Notificările alea sunt mai curând un verdict decât o preîntâmpinare :P

    Ar trebui să fie perfect clar pentru toți: Totul ce urcă în nouraș fără end-to-end encryption poate fi accesat de destul de multă lume (gov, ops, ș.a.).
    Mai mult ca atât, dacă nu folosiți 2-way authentication (configurat corect), orice cont poate fi compromis ca rezultat al unui brute-force/dictionary attack/sniffing în anumite circumstanțe chiar și de un puști, ne mai vorbind de black hat gyus.

  8. Cam ușor lovești cu epitetele, vedetele alea nu sunt proaste grămadă, nu a fost nicio notificare. Hackuiala a fost făcută cu eppb și a constat în restaurarea unui iphone virtual (un computer care simula un iPhone fizic) cu backup-ul din Icloud, operație care NU este notificata de Apple. Tim Cook a anunțat ieri că și această manevră va fi notificata… în viitor :). Uite aici:http://mashable.com/2014/09/04/i-hacked-my-own-icloud-account/?utm_cid=mash-com-G+-main-link

  9. Salut. Am primit un email de la apple care zicea ca a fost folosita aplicatia find my iphone, cu datele mele, de pe un alt device (era mentionat iphone 5) si ca daca nu am fost eu cel care s-a logat, atunci sunt sfatuit sa imi schimb parola. As vrea sa stiu daca este un spam, sau cineva a avut acces la datele mele, mai ales ca mailul a venit la 13:40 si ma anunta ca parola mea a fost folosita la 3:22 AM. Stiu ca apple trimite instant notificare cand cineva iti foloseste datele icloud.

    Multumesc!

  10. Nu, n-am folosit aceasta aplicatie, mai ales ca in mail era clar ca fusese folosita de pe un alt device. Mailul a venit de la noreply@insideicloud.com. Sotia a avut la un moment dat aceeasi parola, insa eu am schimbat-o acum cateva luni.

  11. Am citit acum pe alte forumuri ca aceasta adresa este spam si ca multi au primit astfel de email-uri. Deci delete mail cand vine de la noreply@insideicloud.icloud.com