Programišiai tvirtina sukūrę įsilaužimo į iCloud įrankį

Programišiai išleido įrankį, kuris jų teigimu gali būti panaudotas įsilaužimui į iCloud paskyras.

Programišiai išleido iDict - jų teigimu įrankį skirtą apeiti Apple apsaugas neleidžiančias programišiams prisikasti iki vartotojų paskyrų. iDict puslapyje GitHub tinkle, vartotojas „Pr0x13“ rašo, kad šio įrankio atsiradimas buvo gana akivaizdus ir čia tik laiko klausimas kada programišiai pradės jį naudoti įsilaužimams į iCloud paskyras.

iDict aprašomas, kaip 100% veikiantis iCloud Apple ID žodyno ataka apeinanti Apple apsaugą po kelių nesėkmingų bandymų atjungiančią galimybę bandyti slaptažodį bei išvengianti antrinės patikros bet kurioje paskyroje.

Reikia paminėti, kad iDict įrankio veiksnumas, kol kas yra tik „popieriuje“ ir nėra jokių įrodymų, kad įrankis iš ties geba atlikti tai ką teigia jo kūrėjai, tačiau keli Twitter ir Reddit vartotojai tvirtina jį patikrinę ir sako, kad jis veikia taip kaip ir aprašyta.

Apple turi kelias iCloud apsaugos pakopas. Pirmoji blokuoja „brute force“ atakas ribodama neteisingų slaptažodžių bandymų skaičių. Taip pat eilėje šalių Apple yra įgalinusi dviejų pakopų patikrą. teigimas, kad iDict gali apeiti šias apsaugas skamba grėsmingai.

Jei iDict iš tiesų veikia taip kaip tvirtinama, tai vartotojai norėdami apsisaugoti nuo tokių įsilaužimų iš ties gali padaryti labai nedaug. Į iCloud paskyras įsilaužti skirto įrankio aprašyme teigiama, kad norint pradėti ataką reikią žinoti icloud paskyros elektroninio pašto adresą. Vienas iš galimų apsaugos būdų būtų iCloud paskyrai naudoti elektroninio pašto adresą, kuris nėra niekur naudojamas ar paskleistas internete.

Šiuo metu diskutuojama apie tai koks iš vis yra šio įrankio viešo platinimo tikslas. Įprastai saugumo ekspertai aptikę saugumo spragą apie ją svetainės ar programinės įrangos kūrėją informuoja asmeniškai ir tik jei šis nesureaguoja - jos neužlopo tam tikrą laiką, jie paprastai apie ją praneša viešai.

iDict naudoja slaptažodžių žodyną, tad jei jūsų iCloud slaptažodis yra vienas iš paminėtų aplikacijos wordlist.txt faile - geriau jį pakeiskite į ką nors saugesnio. Tiesa, atsisiuntę ir įdiegę šį įrankį nesunkiai žodyną gali papildyti savo slaptažodžių variantais iš kitų „brute force“ paketų ar po įsilaužimų į kitas svetaines turimų slaptažodžių sąrašų. Dėl šios priežasties naudokite unikalius slaptažodžius susidedančius iš didžiųjų ir mažųjų raidžių, skaičių ir simbolių ir nėra kokie nors žodžiai (ypač angliški, prancūziški, vokiški, itališki, ispaniški ir panašiai) pakeičiant kai kurias raides simboliais.

Normalesnis slaptažodis turėtų būti kas nors panašaus į DRa-e$A7pjSw#n3p]. (tokį „bruteforcinti“ net ir neribojant bandymų skaičiaus, naudojant paprastą kompiuterį truktų apie 364 kvintilijonus metų) arba bent jau kažką panašaus į u!k-b6V-wZk-CnE (tokį „bruteforcinti“ naudojant paprastą kompiuterį truktų apie 157 milijardus metų) ir vargu ar tokie slaptažodžiai yra kokioje nors slaptažodžių bibliotekoje (nebent tokį slaptažodį naudojate su kita paskyra, kurios serveris buvo nulaužtas). Kiekvienai paslaugai naudokite unikalius slaptažodžius.