Apple은 Celebgate 6 개월 전에 iCloud 무차별 대입 취약점에 대해 경고했습니다.

Apple은 Celebgate 6 개월 전에 iCloud 무차별 대입 취약점에 대해 경고했습니다.

회사와 저명한 보안 연구원 사이에 유출 된 이메일에 따르면, 애플은 이르면 2014 년 3 월에 iCloud 사용자의 개인 데이터를 취약하게 만드는 보안 허점을 알고있었습니다.


optad_b

이번 달 초 Daily Dot에서 입수하고 여러 보안 전문가가 검토 한 이메일은 이브라힘 발릭 | 런던에 본사를 둔 소프트웨어 개발자 인은 Apple에 iCloud 계정에 침투하기 위해 발견 한 방법을 알려줍니다.

이달 초 아이 클라우드 서버에서 훔친 것으로 추정되는 수백 장의 유명인 누드 사진이 인터넷에 넘쳐나면서 애플의 보안이 강해졌다. 발릭 익스플로잇이 애플에보고 한 바에 따르면 소위 'Celebgate'해킹에서 사용 된 익스플로잇과 완전히 유사하지만 현재 동일한 취약점인지 여부는 확실하지 않습니다.



3 월 26 일 이메일에서 Balic은 Apple 관계자가 & ldquo; brute-force & rdquo를 방지하도록 설계된 보안 기능을 성공적으로 우회했다고 말했습니다. 공격 — 해커가 수천 개의 키 조합을 철저히 시도하여 암호를 해독하는 데 사용하는 방법입니다. 일반적으로 이러한 종류의 공격은 사용자가 로그인을 시도 할 수있는 횟수를 제한하여 무력화됩니다.

Balic은 계속해서 Apple에 모든 계정에서 20,000 개 이상의 암호 조합을 시도 할 수 있다고 설명합니다. & ldquo; 문제가 해결되도록 알려 드리고 싶습니다. & rdquo; 그가 썼어. ( 편집자 주 : Balic의 이메일은 그의 모국어가 아닌 영어로 작성되었습니다. )

Apple iCloud 위반 4

클릭하면 확대됩니다



이 취약점은 또한 다음 스크린 샷에서 볼 수 있듯이 Apple의 온라인 버그 제출 플랫폼을 사용하여 Balic에 의해보고되었습니다.

Apple iCloud 위반 3

클릭하면 확대됩니다

2014 년 5 월 6 일자 이메일에서보고 된 취약점은 수정되지 않은 것으로 보입니다. Apple 관계자는 발릭의 발견 세부 사항에 대해 계속해서 질문합니다.

& ldquo; 문제가 완전히 해결되지 않은 것 같습니다. 그들은 계속해서 더 많은 것을 보여달라고 요청했습니다. & rdquo; Balic은 Daily Dot에 말했습니다.

Apple iCloud 위반 2



클릭하면 확대됩니다

Apple의 클라우드 스토리지 서비스의 보안 허점은 처음에 Celebgate 해킹의 원인이었습니다. 악성 스크립트가 웹 사이트에 업로드 된 것으로 알려졌습니다. GitHub 지난달 말에 따르면 다음 웹, 해커가 iCloud 계정을 손상시키는 데 사용되었을 수 있습니다.

& ldquo;에서 발견 된 것으로 알려진 취약점 내 iPhone 찾기 서비스는 공격자가이 방법을 사용하여 어떤 종류의 잠금이나 대상에 대한 경고없이 반복적으로 암호를 추측 할 수 있도록하는 것으로 보입니다. 암호가 결국 일치되면 공격자는 암호를 사용하여 다른 iCloud 기능에 자유롭게 액세스 할 수 있습니다. & rdquo;

Celebgate 사진이 웹을 통해 폭발 한 직후 Apple은 GitHub 게시물에서 확인 된 취약점을 패치 한 것으로 알려졌습니다. 그러나 회사는 이것이 Celebgate 이벤트와 어떤 식 으로든 관련이 있다는 것을 부인했습니다. 사진의 도난, 성명서 이 회사는 'iCloud 또는 Find my iPhone을 포함한 Apple 시스템의 모든 침해'의 결과가 아니라고 주장했습니다.

Apple은 또한 iCloud 계정을 더욱 보호하기 위해 2 단계 인증 사용을 확대했습니다. 사용자는 로그인 할 때마다 문자 메시지로 전송되는 4 자리 코드를 입력해야하는 추가 보안 적용을 선택해야합니다.

Apple이 보안을 강화하기 전에 얻은 것으로 추정되는 훔친 유명인 사진, 계속 온라인에 나타남 . 토요일, 제니퍼 로렌스, 킴 카다시안 등의 누드 사진이 4chan 웹 사이트에 게재됐다. 최근에 따르면 FBI는 여전히 해킹을 조사하고 있습니다. 성명서 법 집행 기관에서.

Balic의 무차별 대입 iCloud 공격은 Apple에 대한 그의 첫 번째 취약점보고가 아닙니다. 2013 년 6 월에 그는 Apple 개발자 센터에서 보안 결함을 확인했습니다. Balic에 따르면 웹 사이트는 거의 즉시 삭제되었지만 그의 보고서는 회사로부터 응답을받지 못했다고 말했습니다. 안에 보도 자료 며칠 후 발행 된 Apple은 & ldquo; 보안 위협 & rdquo; 그리고 & ldquo; 침입자가 [등록 된 개발자]의 개인 정보를 보호하려고 시도했습니다. & rdquo;

Apple이 자신의 보고서를 처리하는 방식에 불만이 있고 법 집행 기관이 그들의 고발을 조사하고 있다고 우려하는 Balic은 다음과 같은 형식으로 공개되었습니다. 논평 TechCrunch 기사에서. 그는 나중에 YouTube를 업로드했습니다. 비디오 , 그는 자신의 발견에 대한 증거가 포함되어 있다고 말합니다.

Apple은 나중에 자사의 XSS (cross-site scripting) 취약점을보고 한 Balic을 인정했습니다. 웹 서버 알림 페이지 .

Apple iCloud 위반 이메일


이달 초 애플 CEO 팀 쿡은 자사가 고객들에게 보안 문제를 알리기 위해 더 많은 일을해야한다고 말했다.

& ldquo; 발생한이 끔찍한 시나리오에서 물러나서 우리가 무엇을 더 할 수 있었는지 말할 때, 저는 인식 부분에 대해 생각합니다. & rdquo; 그는 말했다 월 스트리트 저널 . & ldquo; 우리는 그것을 끌어 올릴 책임이 있다고 생각합니다. 그것은 실제로 엔지니어링적인 것이 아닙니다. & rdquo;

발릭은 동의했습니다. & ldquo; 애플이이 문제를 더 심각하게 받아 들였다면 아마도 그러한 문제가 발생하지 않았을 것입니다. & rdquo; 그는 말했다.

애플은 여러 차례의 논평 요청에 응답하지 않았습니다.

Jason Reed의 일러스트레이션