Michal Ždanský Appleren barne ikerketaren hainbat egun igaro ondoren, konpainiak adierazpen bat argitaratu zuen ospetsu batzuen iCloud kontuak pirateatzea, zeinaren argazki delikatuak jendaurrera filtratu ziren. Appleren arabera, argazkiak ez ziren filtratu iCloud eta Find My iPhone zerbitzuak hackeatuz, izan ere, hackerrek argazkiak lortu zituzten moduan, Kaliforniako konpainiako ingeniariek erabiltzaile-izen, pasahitzen eta segurtasun galderen aurkako eraso zuzendua zehaztu zuten. Hala ere, ez zuten iCloud argazkiak nola lortu ziren komentatu.
Wired-en arabera, pasahitzak pitzatu ziren gobernu-agentziek erabiltzen duten software forentsea erabiliz. Iragarki Oholean Anon-IB, non hainbat argazki ospetsu agertu ziren, kide batzuek argi eta garbi eztabaidatu zuten softwarea erabiltzearen izenean ElcomSoft Telefonoaren pasahitz-hauslea. Honi esker, lortutako erabiltzaile-izenak eta pasahitzak sar ditzakezu babeskopia-fitxategi osoa iPhone eta iPad-etik berreskuratzeko. Wired-ek elkarrizketatutako segurtasun aditu baten arabera, argazkietako metadatuak bat datoz aipatutako softwarearen erabilerarekin.
Hacker-ek erabiltzaile-izenak (Apple ID) eta pasahitzak bakarrik lortu behar izan zituzten, eta, ziurrenik, programaren bidez lehen aipatutako metodoari esker lortu zuten. iBrute Find My iPhone ahultasunarekin batera, erasotzaileei pasahitza asmatzeko aukera eman zien saiakera-kopuruari mugarik gabe. Applek ahultasuna adabaki zuen aurkitu eta berehala. Hacker-en erasoaren biktimek bi urratseko egiaztapena erabili ez izanak, eta horrek telefonora bidalitako kode bat sartu behar du, zeresan handia izan zuen. Kontuan izan behar da bi urratseko egiaztapena ez dela iCloud babeskopia eta Photo Stream zerbitzuetan aplikatzen, hala ere, lehenik eta behin erabiltzaile-izenen pasahitzak lortzea askoz zailagoa izango litzateke.
Hala ere, bi urratseko egiaztapenarekin ere, iCloud ez dago babestuta. Zerbitzariko Michael Rosek aurkitu zuen bezala TUAW, Photo Stream, Safari babeskopia eta posta elektronikoko mezuak Apple ordenagailu berri batera sinkronizatzean, erabiltzaileari ez zaio abisurik ematen ordenagailu berritik datuak atzitu direla. Apple IDa eta pasahitza ezagututa soilik posible zen aipatutako edukia deskargatzea erabiltzaileak jakin gabe. Ikus dezakezunez, Appleren hodeiko zerbitzuek oraindik pitzadura batzuk dituzte, nahiz eta erabiltzailea bi urratseko egiaztapenaren bidez babestuta egon, eta hori, bide batez, oraindik ez dago eskuragarri, adibidez, Txekiar Errepublikan edo Eslovakian. Azken finean, afera honen ostean, Appleren akzioak ehuneko lau jaitsi ziren.
Ez zenuke sinetsiko nola telefonoan pasahitz oso sinplea eta porno-argazkiak dituzten ospetsu pare batek enpresa handi baten akzioak nola mugi ditzaketen :)
Erabiltzaileek datuak eta pribatutasun apur bat galdu dutelako parte oso bat dute, beraz, kasu honetan guztiz ondo dago akzioak erortzea. Segurtasunari erreparatzen ikasten ari da behintzat eta erabiltzaileok behintzat ondo gaudela irudituko zaigu ;-).
Beraz, pasahitzak iBrute programa erabiliz pitzatu ziren, maiz erabiltzen diren pasahitz guztiak hiztegi batzuen arabera probatzeko/errore metodo bat erabiltzen duena. Ahultasuna izan zen biktimek hiztegi edo pasahitz ahula zutela eta Apple-k ez zuela metodo hau blokeatu (adibidez, minutuko huts egindako saiakera kopurua mugatuz) Find My Phone (orain konponduta). Pasahitzak izan ondoren, nahi zutena egin zezaketen. Hala ere, Apple ID bera duen beste gailu baten erregistroari buruzko informazioa ez agertzeko, iCloud-etik iPhonearen babeskopia osoa deskargatu zuten EPPB programa erabiliz eta programa hori erabiliz babeskopiko argazkiak atera zituzten. Ondorioa - pasahitz on bat ezinbestekoa da.
Ez nintzateke harrituko ere ordaindutako mugimendua izango balitz. gauza super berriak sartu baino egun batzuk lehenago Apple erraldoiari ahalik eta zikinkeria gehien botatzea. Nola izan zitekeen agertoki posibleetako bat ere bada. Gaur egun pertsona bat akzioekin hunkitzeko, egin behar duzun guztia da konturatzea zein den sentikorra. Baina onena denari beti buelta bat botako zaio, ez da aldatuko.
Erabiltzaileek datuak eta pribatutasun apur bat galdu dutelako parte oso bat dute, beraz, kasu honetan guztiz ondo dago akzioak erortzea. Segurtasunari erreparatzen ikasten ari da behintzat eta erabiltzaileok behintzat ondo gaudela irudituko zaigu ;-).
Noski, Applek ez du inoiz ezer ordaintzen. Utzi udala kosta ahala kosta defendatzeari. Dagoeneko lotsagarria da. Partekatu besterik ez dute egin
Gaur bertan "checkauth@apple.com"-ren mezu elektroniko bat jaso dut. Apple-ren itxura zehatza du, eta erabiltzen ez dudan aplikazio bat nire kontutik deskargatu dela esaten du. Pasahitza aldatzera joan nintzenean, Apple.com itxura duen orri batera birbideratu ninduen, baina URL helbidea ezberdina da argi eta garbi.