Apple устраняет уязвимость безопасности iCloud после взлома и утечки фотографий знаменитостей

На следующий день после того, как частные и обнаженные фотографии актрисы Дженнифер Лоуренс и других голливудских знаменитостей были выложены в сеть, Apple, как сообщается, устранила уязвимость безопасности, которая могла позволить хакерам получить доступ к учетным записям iCloud.

Сообщается, что уязвимость была обнаружена на сайте хостинга кода Github. Разработчики выяснили, что функция Apple « Найти iPhone » могла быть скомпрометирована так называемыми атаками грубой силы, которые пробуют пароль за паролем, пока не будет найден правильный для разблокировки учетной записи. Оттуда хакеры могли бы выяснить Apple ID пользователя и получить доступ к их хранилищу iCloud. Github сообщает, что Apple исправила проблему.

Тем не менее, неясно, является ли это той же или единственной уязвимостью безопасности, которая позволила хакерам собрать фотографии Лоуренс и 20 других голливудских знаменитостей.

Как было указано в нашем предыдущем посте, некоторые фотографии, похоже, были получены с разных устройств и могли накапливаться в течение длительного времени.

CNET старший редактор Дэн Акерман сказал: “ Это может быть не один человек, это может быть группа людей, и это могут быть фотографии, которые были собраны на протяжении месяцев или лет, ”

Онлайн-посты на сайтах 4chan и Reddit утверждали, что фотографии более чем 100 знаменитостей были раскрыты, когда хакер взломал их облачное хранилище, хотя независимые новостные агентства указывали, что изображения только 20 знаменитостей в близких и личных позах могли быть утечены.

Фотографии звезды « Голодных игр » Дженнифер Лоуренс в различных стадиях раздевания появились в сети, наряду с частными фотографиями актрисы Мэри Элизабет Уинстед, модели Кейт Аптон и других. Представитель Лоуренс заявил, что посты являются “грубым нарушением частной жизни” и сказал, что “ власти были уведомлены и будут преследовать в судебном порядке любого, кто выложит украденные фотографии Дженнифер Лоуренс. ”

Уинстед и Аптон признали, что украденные фотографии с ними были настоящими, в то время как две другие жертвы, певица Ариана Гранде и звезда Nickelodeon Виктория Джастис, заявили, что фотографии, выложенные с ними, были подделками.

С другой стороны, Apple заявила в понедельник, что “активно расследует”, была ли утечка связана с нарушением безопасности в ее службе iCloud.

“ Мы очень серьезно относимся к конфиденциальности пользователей и активно расследуем этот отчет, ” сказала представительница Apple Натали Керрис в интервью Recode.

Неизвестный злоумышленник имел еще одно преимущество => Apple позволяет неограниченное количество попыток ввода пароля. Обычно системы ограничивают количество раз, когда кто-то может попытаться войти в систему с неправильным паролем, прежде чем учетная запись будет полностью заблокирована. Apple с тех пор исправила этот аспект уязвимости.

“ Злоумышленникам никогда не следовало позволять делать неограниченное количество попыток, ” сказал Киндлунд.

И хотя нет прямых доказательств, связывающих iCloud Apple с атакой, время инцидента, похоже, совпадает с выступлением исследователей безопасности на тему безопасности в iCloud.

**

Программа iBrute была создана исследователями безопасности в России как доказательство концепции и продемонстрирована в рамках выступления на конференции по безопасности в Санкт-Петербурге в начале этого месяца.