Apple、セレブの写真がハッキングされ流出した後にiCloudのセキュリティギャップを修正

女優ジェニファー・ローレンスや他のハリウッドセレブのプライベートおよびヌード写真がオンラインで流出した翌日、AppleはハッカーがiCloudアカウントにアクセスできる可能性のあるセキュリティギャップを修正したと報じられています。

この脆弱性はコードホスティングサイトGithubで明らかにされたと報告されています。開発者たちは、Appleの「 iPhoneを探す 」機能が、正しいパスワードが見つかるまでパスワードを試すいわゆるブルートフォース攻撃によって危険にさらされる可能性があることを発見しました。そこから、ハッカーはユーザーのApple IDを特定し、iCloudストレージにアクセスできたかもしれません。Githubによれば、Appleはこの問題を修正しました。

しかし、これがローレンスや他の20人のハリウッドセレブの写真をハッカーが収集することを可能にした同じ、または唯一のセキュリティ欠陥であるかどうかは不明です。

以前の投稿で述べたように、いくつかの写真は異なるデバイスから来ているようで、長期間にわたって蓄積された可能性があります。

CNETのシニアエディター、ダン・アッカーマンは「 一人の人間ではなく、グループの人間かもしれないし、これらは数ヶ月または数年にわたって集められた写真かもしれない。 」と述べました。

4chanやRedditのウェブサイトでのオンライン投稿によると、ハッカーが彼らのクラウドベースのストレージに侵入した際に、100人以上のセレブの写真が公開されたとされていますが、独立したニュース機関は、親密なポジションにいる20人のセレブの画像のみが流出した可能性があると示唆しています。

「 ハンガー・ゲーム 」のスター、ジェニファー・ローレンスのさまざまな段階の服を脱いだ写真がオンラインに現れ、女優メアリー・エリザベス・ウィンステッド、モデルケイト・アップトンなどのプライベート写真も公開されました。ローレンスの広報担当者は、これらの投稿は「プライバシーの公然の侵害」であると述べ、「 当局に連絡が取られ、ジェニファー・ローレンスの盗まれた写真を投稿した者は誰でも起訴される。 」と語りました。

ウィンステッドとアップトンは、彼女たちの盗まれた写真が本物であることを認めましたが、他の2人の被害者、歌手アリアナ・グランデとニコロデオンのスター、ビクトリア・ジャスティスは、彼女たちの投稿された写真は偽物であると述べました。

一方、Appleは月曜日に、iCloudサービスでのセキュリティ侵害が流出の原因であるかどうかを「積極的に調査している」と述べました。

「 私たちはユーザーのプライバシーを非常に真剣に受け止めており、この報告を積極的に調査しています。 」とAppleの広報担当者ナタリー・ケリスはRecodeに語りました。

まだ不明な攻撃者は、もう一つの利点を持っていました => Appleは無制限のパスワード推測を許可しています。通常、システムは不正なパスワードでシステムにログインしようとする回数を制限し、アカウントが完全にロックされる前に試行回数を制限します。Appleはその脆弱性の側面を修正しました。

“ 攻撃者は無制限の推測を許可されるべきではなかった。 ”とKindlundは述べました。

AppleのiCloudと攻撃を直接結びつける証拠はありませんが、事件のタイミングは、iCloudのセキュリティに関する話が行われたことと一致しているようです。

**

iBruteプログラムは、ロシアのセキュリティ研究者によって概念実証として作成され、今月初めにサンクトペテルブルクでのセキュリティ会議での講演の一部としてデモされました。