AppleがiCloudのiDict関連の脆弱性を修正

Appleがハッカーが誰のアカウントにもアクセスできるiCloudの穴を修正

Appleは、iDictツールがユーザーのパスワードをブルートフォース攻撃し、iCloudユーザーアカウントにハッキングすることを可能にしていたiCloudサービスの脆弱性を修正しました。iDictツールは、その作者Pr0x13が任意のiCloudユーザーアカウントをハッキングできると主張し、元日の日に彼によってリリースされ、GitHubで入手可能です。

iDictはAppleのセキュリティの穴を利用して、ユーザーのパスワードを繰り返し推測し、十分な時間があればハッカーが任意のアカウントにアクセスできるようにしました。Pr0x13は、このバグが「痛々しいほど明白」であり、「ハッカーやサイバー犯罪者がそれを見つけるのは時間の問題だった」と主張していました。

Pr014は、AppleのiCloudの脆弱性がパスワード、セキュリティ質問、さらには二要素認証のようなセキュリティシステムを回避するために使用できると述べました。iDictは、一般的に使用されるパスワードの長いリストを通じてユーザーのパスワードを推測することによって機能しました。Appleはこれらの「ブルートフォース」攻撃をブロックしていますが、iDictが利用したセキュリティの穴があったようです。

Appleのエンジニアは、この脆弱性に対処するために残業して、レートリミッターを実装しました。現在実装されているレートリミッター機能は、iCloudアカウントに3回以上アクセスしようとするユーザーをブロックします。Pr013もAppleが穴を修正したというメッセージを受け取り、Twitterに投稿しました。彼は、iDictを使用しないようにユーザーに警告しました。そうしないと、テスターが自分のiCloudをロックされることになります。

iDictは修正されました。アカウントをロックしたくない場合は使用を中止してください #TheMoreYouKnow — ! ? (@pr0x13) 2015年1月2日

Appleは、2013年にハッカーが数人のハリウッドセレブのiCloudアカウントにハッキングし、4Chanのような人気の画像掲示板サイトに個人的な写真を流出させたことでiCloudに関する論争に巻き込まれました。この流出は、AppleにiCloudストレージサービスに二要素認証を実装させることになりました。

Pr0x13のツールのリリースとAppleのレートリミッターによるiCloudの修正の間に、誰かがiCloudの脆弱性を悪用したかどうかはまだ不明です。