Apple Silent süüdistab alasti kuulsuste lekkeid, jääb ebaselgeks

Karl Mondon / Bay Area News Group / MCT

Uuendatud - kell 14.40, EST

2. september 2014, kell 18:42

Apple PR avaldas avalduse, milles väitis, et iCloudi ei rikutud laialdaselt:


Tahtsime ajakohastada meie uurimist teatud kuulsuste fotode varguste kohta. Kui saime vargusest teada, olime nördinud ja mobiliseerisime kohe Apple'i insenerid allika avastamiseks. Meie klientide privaatsus ja turvalisus on meie jaoks ülimalt olulised. Pärast enam kui 40 -tunnist uurimist avastasime, et teatud kuulsuste kontosid ohustas väga sihitud rünnak kasutajanimede, paroolide ja turvaküsimuste vastu, mis on Internetis liiga levinud. Ükski meie uuritud juhtum ei ole põhjustatud Apple'i süsteemide, sealhulgas iCloud® või Find my iPhone, rikkumisest. Jätkame koostööd õiguskaitsega, et aidata tuvastada kaasatud kurjategijad.

Seda tüüpi rünnakute eest kaitsmiseks soovitame kõigil kasutajatel alati kasutada tugevat parooli ja lubada kaheastmeline kinnitamine. Mõlemat neist käsitletakse meie veebisaidil aadressil http://support.apple.com/kb/ht4232.

Kui tolm hakkab sadestuma esialgne pilditõmme pühapäeva pärastlõunal ringlema hakanud alasti kuulsuste piltidest otsivad vastuseid turvauurijad, korrakaitsjad ja tavalised pilvekartlikud telefonikasutajad. Ja Apple, mida peetakse suuresti nõrgaks turvaseks lüliks, vaikib.



Kogu internetis viidatakse piltide leketele regulaarselt kui „iCloudi häkkimisele”, seda tänu 4channi esialgsetele lekkinud fotopostitustele, mis väidetavalt said fotod Apple'i pilvesalvestuse kaudu. Ja mitmed saidid on mõlemad tuvastanud märkimisväärsed haavatavused iCloudis (rakenduse Find My Phone kaudu), samuti hästi dokumenteeritud iCloudi häkkerite kogukonnad, kes saavad parooli lõhkuda „toore jõu” programmidega (mis võimaldavad piiramatult arvata paroole) ja fotode allalaadimine hulgi.

Kuid kolm turvauurijat ütlesid BuzzFeedile, et seda turvarikkumist Apple'i pilveteenuses on veel vara kinnitada, mis viitab hoopis sellele, et fotod saadi pika aja jooksul mitme üksiku häkkimise teel ja seejärel koguti suuremaks kollektsiooniks hämarad veebifoorumid.

4chan

Bryan Hamade, üks lekke peamisi kahtlusaluseid, rääkis BuzzFeed esmaspäeval: 'Tundub, et fotod [edastati] enne lekkimist mitmele inimesele, nii et see võib olla lihtsalt keegi, kellel need on ja kes ei häkkinud neid hankida. Tundub, et nad on pildile kogunud tohutu kollektsiooniga kauplemise pildi ja võimalik, et kes iganes selle müüs, hakkas eile pilte lekitama. ”

Austraalia turvakirjanik ja ekspert Troy Hunt ütles, et võltsfotode ilmumine võib rikkumise tõsidust õõnestada. Kui see vastab tõele (et mõned fotod on võltsitud), seab see kahtluse alla häkkimise seaduslikkuse, kirjutas ta BuzzFeedile saadetud e -kirjas.

'Me võime leida, et rünnakuvektor on sarnane omaga Austraalia stsenaarium Kirjutasin, et see on eraldi rünnak (näiteks andmepüügikampaania), mis on edukalt volikirja saanud. See põhineb muidugi ka muudel ohvrite turvalisuse aspektidel (näiteks kahe faktori autentimise puudumine) ja see on täiesti usutav, 'ütles ta.

Hunt lisas, et lekkinud piltide olemus - mitmesugused kuulsused, paljud varjatud ja vaevalt igasugune isiklik teavePealegifotod-tähendab, et ka iCloudi täieõiguslik rikkumine on vähem tõenäoline. 'Üks küsimus, mida tasub küsida, on see, miks kuulsused on sihtmärk,' ütles Hunt. „Kui iCloudis oleks iseenesest haavatavus, võiksite eeldada, et häkkimine on üsna valimatu. Jah, rahaline tõus on suurem, kui ründaja saab fotosid ja videoid kõrgetasemelistest isikutest, kuid nad on väike protsent laiemast Apple'i ökosüsteemist ja te arvate, et näete igapäevaelukodanikele rohkem „tagatist”. ”

Ja Johns Hopkinsi arvutiteaduse professor ja infoturbeekspert Matthew Green hoiatas Njuujorklaneon Jay Caspian Kang et 'siiani pole tõendeid suuremahulise iCloudi sissemurdmise kohta või piltide röövimisest serveritest korraga'.

Sellegipoolest võib Apple olla vähemalt osaliselt süüdi vähemalt mõnedes rikkumistes. Aruande kohaselt Järgmine veebOwen Williams , Leida mu sõbrad haavatavus võimaldas pahatahtlikel kasutajatel Apple'i iCloudis sihtkonto parooli 'toorelt jõuga' rakendada. ' Williams jätkab, et 'toore jõuga rünnakud koosnevad pahatahtliku skripti kasutamisest paroolide korduvaks äraarvamiseks, et leida õige.'

Ilma parooli ajalõpputa suudaksid häkkerid paroole piiramatul arvul arvata, võimaldades neil juurdepääsu saamiseks programme käivitada ja proovida miljoneid variante. Kui see nii on, oleks see suur turvaviga ja iCloudi kaudu häkkinud kontode puhul oleks see täielikult Apple'i süü.

Ajastus on ka vähem ideaalne Apple'i jaoks, kes paneb suure tõenäosusega järgmise nädala põhiteemal viimase lihvi, kus ettevõte peaks avalikustama rea ​​uusi tooteid, sealhulgas uusi iPhone'e ja kauaoodatud kantavat seadet. Osa Apple'i kantavast strateegiast on jälgida obsessiivselt isikuandmeid , mis näiliselt salvestatakse Apple'i pilveteenustesse - meditsiinilised andmed on nii isiklikud, et Apple on Morgan Stanley sõnul palganud vereuurijad appi. Kui küsimused Apple'i pilveturbe kohta keerlevad, on võimalik, et see ja teised uued funktsioonid võivad kannatada.

apple.com

Kaks päeva pärast asja lõppu on ettevõtte ainus kommentaar kuulsuste privaatsuse rikkumise kohta lühike märkus Apple'i pressiesindaja kaudu Natalie KerrisKodeeri uuesti , öeldes, et Apple suhtub „kasutajate privaatsusse väga tõsiselt ja uurib seda raportit aktiivselt”.

Apple on siiani ignoreerinud BuzzFeedilt mitmeid kommenteerimistaotlusi seoses iCloudi haavatavusega (mille ettevõte on teinud) kuuldavasti esmaspäeva hommikul), samuti kuulsuste häkkimise olemust ja seda, kas need kõik on suurema iCloudi rikkumise tulemus. Märkimisväärne osa Apple'i praegustest mobiili- ja lauaarvutite ökosüsteemidest töötab iCloudi toel ning paljud ettevõtte tulevikku suunatud algatused sõltuvad turvalisest ja turvalisest pilvest.

Jennifer Lawrence, Lea Michele, teised kuulsused väidetavamate foto- ja videolekete ohvrid

buzzfeed.com

Mees Redditors, keda süüdistati Jennifer Lawrence'i alasti lekke eest, ütleb, et ta on süütu

buzzfeed.com