Ένα ελάττωμα στην υπηρεσία Find My iPhone της Apple θα μπορούσε να ήταν πίσω από μια επίθεση που οδήγησε σε κίνδυνο εκατοντάδων λογαριασμών iCloud διασημοτήτων.
πώς να διαγράψετε το πρόχειρο στο τηλέφωνο
Ένα σενάριο Python απόδειξης της ιδέας που αναπτύχθηκε από HackApp για ωμή βίαια Το iCloud κυκλοφόρησε στο διαδίκτυο για αρκετές ημέρες πριν από γυμνές φωτογραφίες 17 διάσημων γυναικών, συμπεριλαμβανομένωνΑγώνες πείναςηθοποιός Jennifer Lawrence καιScott PilgrimΗ ηθοποιός Mary E Winstead εμφανίστηκε στο διαδίκτυο - προφανώς κλαπεί από τους λογαριασμούς τους στο iCloud.
Ο χάκερ ισχυρίστηκε ότι είχε φωτογραφίες από περισσότερες από 100 γυναίκες διασημότητες συνολικά.
Ο κώδικας προφανώς επιτρέπει στους εισβολείς να μαντέψουν τους κωδικούς πρόσβασης επανειλημμένα μέσω του Find My iPhone χωρίς να προκαλέσουν κλείδωμα ή να ειδοποιήσουν τον στόχο.
Μόλις ανακαλυφθεί ο κωδικός πρόσβασης, ο εισβολέας θα μπορούσε στη συνέχεια να τον χρησιμοποιήσει για πρόσβαση σε άλλες περιοχές του iCloud.
Η Apple έκτοτε έχει επιδιορθώσει την τρύπα, αν και υπάρχουν ισχυρισμοί γίνονται στο Reddit ότι η ενημέρωση κώδικα είναι ενεργή μόνο σε ορισμένες περιοχές.
Ωστόσο, ο ερευνητής ασφαλείας Graham Cluley ισχυρίστηκε ότι είναι δύσκολο να πιστέψουμε ότι αυτό θα μπορούσε να χρησιμοποιηθεί με επιτυχία σε μεγάλο αριθμό λογαριασμών χωρίς ανίχνευση σε σύντομο χρονικό διάστημα.
Μια άλλη επιλογή που πρότεινε ο Cluley και άλλοι ερευνητές είναι ότι τα θύματα της επίθεσης είχαν είτε έναν εύκολο να μαντέψει κανείς κωδικό πρόσβασης είτε απαντήσεις επαναφοράς κωδικού πρόσβασης.
Πολλοί ιστότοποι σάς δίνουν την επιλογή «ξεχάσατε τον κωδικό πρόσβασής σας» ή σας ζητούν να μεταβείτε σε κρίσεις απαντώντας σε «μυστικές ερωτήσεις» για να αποδείξετε την ταυτότητά σας, είπε ο Cluley.
Ωστόσο, σε περίπτωση διασημοτήτων, μπορεί να είναι ιδιαίτερα εύκολο να προσδιορίσετε το όνομα του πρώτου κατοικίδιου ζώου ή το πατρικό της μητέρας τους με μια απλή αναζήτηση στο Google, πρόσθεσε.
Ο Rik Ferguson, ερευνητής ασφαλείας με την Trend Micro, είπε επίσης μια ευρεία κλίμακα «hack» του iCloud της Apple είναι απίθανο, επισημαίνοντας ότι ακόμη και η αρχική αφίσα δεν είχε ισχυριστεί ότι συνέβαινε.
Ο ίδιος, όπως και ο Cluley, πρότεινε ότι ο εισβολέας μπορεί να έχει χρησιμοποιήσει τον σύνδεσμο που ξέχασα τον κωδικό πρόσβασής μου εάν γνώριζε ήδη και είχε πρόσβαση στις διευθύνσεις email που χρησιμοποιούσαν τα θύματα για το iCloud. Πρότεινε επίσης ότι οι εν λόγω διασημότητες ενδέχεται να έχουν πέσει θύματα επιθέσεων ηλεκτρονικού ψαρέματος (phishing).
Αντίδραση στο Twitter και νομικές απειλές
Ενώ οι φωτογραφίες είχαν αρχικά διαρρεύσει στο 4chan, δεν χρειάστηκε πολύς χρόνος για να αρχίσουν να εμφανίζονται οι φωτογραφίες της Τζένιφερ Λόρενς στο Twitter.
Μέσα σε περίπου δύο ώρες, το Twitter είχε αρχίσει να αναστέλλει όλους τους λογαριασμούς που είχαν δημοσιεύσει οποιαδήποτε από τις κλεμμένες φωτογραφίες, αλλά σύμφωνα με ένα χρονοδιάγραμμα απόΟ καθρέφτης , το κοινωνικό δίκτυο έπαιζε ένα παιχνίδι whack-a-mole, με νέες εικόνες να συνεχίζουν να εμφανίζονται για πάνω από μία ώρα μετά την έναρξη της δράσης του.
Η Mary E Winstead πήγε στο Twitter για να καλέσει τόσο το άτομο που δημοσίευσε τις φωτογραφίες όσο και εκείνους που τις κοίταζαν.
Σε όσους από εσάς κοιτάζετε φωτογραφίες που έβγαλα με τον σύζυγό μου χρόνια πριν στο απόρρητο του σπιτιού μας, ελπίζω να νιώθετε υπέροχα για τον εαυτό σας.
- Mary E. Winstead (@M_E_Winstead) 31 Αυγούστου 2014
Ωστόσο, τελικά έπρεπε να αποσυρθεί από την πλατφόρμα για να ξεφύγει από τα καταχρηστικά μηνύματα που έλαβε
Πρόκειται για ένα διάλειμμα στο Διαδίκτυο. Μη διστάσετε στα @ μου να ρίξετε μια ματιά στο πώς είναι να είμαι γυναίκα που μιλάει για οτιδήποτε στο twitter
- Mary E. Winstead (@M_E_Winstead) 1 Σεπτεμβρίου 2014
πώς να φτιάξετε διανυσματικές εικόνες στο gimp
Ο εκπρόσωπος της Τζένιφερ Λόρενς έχει ήδη πει ότι θα ασκήσει νομική δράση εναντίον όσων διανέμουν τις φωτογραφίες.
Πρόκειται για κατάφωρη παραβίαση του απορρήτου. Οι αρχές έχουν επικοινωνήσει και θα διώξουν όποιον δημοσιεύει τις κλεμμένες φωτογραφίες της Τζένιφερ Λόρενς, ανέφεραν.
Το 2011, παρελήφθησαν παρόμοια μέτρα όταν τα email των 50 διασημοτήτων, συμπεριλαμβανομένης της Scarlett Johansson και της Christina Aguilera, παραβιάστηκαν και κλεμμένες γυμνές φωτογραφίες και διαδίδονται δημόσια.
Μετά από έρευνα του FBI, ο δράστης, Christopher Chaney του Jacksonville, Florida, καταδικάστηκε σε δέκα χρόνια φυλάκιση.
Αντίμετρα ασφαλείας
πώς να φτιάξετε ένα φίλτρο αντοχής στη φωτιά
Ενώ οι μη διασημότητες είναι λιγότερο πιθανό να διανέμουν τις γυμνές φωτογραφίες τους τόσο ευρέως όσο ένα διάσημο άτομο, μπορεί και εξακολουθεί να συμβαίνει.
Οι ειδικοί ασφαλείας ανέφεραν ότι αυτό το περιστατικό πρέπει να χρησιμεύσει ως υπενθύμιση της σημασίας της ύπαρξης αποτελεσματικών μέτρων ασφαλείας για οποιαδήποτε διαδικτυακή υπηρεσία και να ενθαρρύνει τους χρήστες να προσέχουν τι μεταφορτώνεται στο cloud.
Με τις σημερινές συσκευές να είναι πολύ πρόθυμοι να προωθήσουν δεδομένα στις αντίστοιχες υπηρεσίες cloud τους, οι άνθρωποι θα πρέπει να προσέχουν ότι τα ευαίσθητα μέσα δεν μεταφορτώνονται αυτόματα στον ιστό ή άλλες συνδεδεμένες συσκευές, δήλωσε ο Chris Boyd, αναλυτής πληροφοριών κακόβουλου λογισμικού στο MalwarebytesPC Pro.
Ο Ferguson πρότεινε ότι ήταν πιθανό τα άτομα που είχαν πέσει θύματα της επίθεσης να έχουν ξεχάσει ή να μην συνειδητοποιήσουν ότι η Apple συγχρονίζει τις φωτογραφίες στο iPhone ή iPad Photo Stream ενός χρήστη αυτόματα στο iCloud τους.
Σε αυτήν την περίπτωση φαίνεται ότι ορισμένα από τα θύματα ίσως πίστευαν ότι η διαγραφή των φωτογραφιών από τα τηλέφωνά τους ήταν αρκετή, είπε.
Τόσο ο Boyd όσο και ο Ferguson προτείνουν να μάθουν εάν και πώς λαμβάνονται αντίγραφα ασφαλείας ή σκιώδη αντίγραφα δεδομένων που είναι αποθηκευμένα σε μια υπηρεσία cloud και πώς μπορούν να διαχειριστούν.
Ο Stefano Ortolani, ερευνητής ασφαλείας στο Kaspersky Lab, πρότεινε επίσης στους χρήστες να επιλέξουν ποια δεδομένα αποθηκεύονται στο cloud και να απενεργοποιήσουν τον αυτόματο συγχρονισμό.
Θα μπορούσατε επίσης να υποστηρίξετε ότι τα smartphone, τα οποία είναι συνεχώς συνδεδεμένα στο Διαδίκτυο, δεν είναι το καλύτερο μέρος για γυμνές εικόνες, είπε ο Boyd - ένα συναίσθημα που απηχούν οι Cluley και Ferguson.
PC Proεπικοινώνησε με την Apple για να ρωτήσει αν η εταιρεία γνώριζε μια ευρεία κλίμακα της υπηρεσίας iCloud, αλλά δεν είχε λάβει απάντηση κατά τη στιγμή της δημοσίευσης.