Ondřej Holzman Na začátku září řešil Apple velice nepříjemný problém s únikem choulostivých fotografií z iCloud účtů známých celebrit. Nebyla sice prolomena služba jako taková, jenže Apple se býval mohl vyvarovat i zranitelnosti v podobě možnosti zadávat heslo nekonečněkrát. Stačilo naslouchat londýnskému bezpečnostnímu expertovi Ibrahimu Balicovi.
Londýnský bezpečnostní výzkumník Balic Apple informoval o potenciálním problému dávno předtím, než hackeři slabinu v iCloudu skutečně využili. Balic dle The Daily Dot Apple informoval už v březnu a ve svém e-mailu bezpečnostní problém přesně popsal.
V e-mailu z 26. března Balic zaměstnanci Applu napsal:
Našel jsem nový problém týkající se Apple účtů. Použitím útoku hrubou silou (brute force attack) mohu více než dvacet tisíckrát zkoušet zadávat hesla na libovolném účtu. Myslím si, že by tu mělo být použito omezení. Přikládám otisk obrazovky. Stejný problém jsem objevil u Googlu a získal od nich odpověď.
Právě nekonečným zadáváním hesel, díky čemuž nakonec hackeři na hesla známých osobností přišli, se zřejmě do iCloud účtů nabourali. Zaměstnanec Applu Balicovi odpověděl, že informaci bere na vědomí a děkuje za ni. Balic vedle e-mailu problém nahlásil také skrze speciální stránku určenou pro reportování chyb.
Apple nakonec reagoval až v květnu, Balicovi napsal: „Na základě informací, které jste poskytl, se zdá, že by zabralo neobyčejně mnoho času najít pro účet funkční ověřovací token. Věříte, že znáte metodu, která by dokázala zajistit přístup k účtu v rozumném čase?“
Bezpečnostní technik Applu Brandon očividně nebral Balicův nález jako velkou hrozbu. „Věřím, že ten problém úplně nevyřešili. Neustále mi říkali, ať jim ukážu víc,“ uvedl Balic.
Zajímavé, že po prolomení to šlo opravit raz dva.
Prostě jsou v Applu namyšlený lidí, který si myslej, že jsou něco víc než ostatní.
Tak predevsim je blbej ten, kdo si da heslo 12345. Ja bych to nedemonizoval. Apple ted po n-tem zadani spatneho hesla ucet zablokuje, cimz si ale zase rika o vyDOSovani.
Neni to tak dlouho, co jista banka (myslim ze FIO) mela podobny problem. Prihlasovaci jmena klientu byla cisla jdouci hezky po sobe, a po tretim zadani hesla se ucet zablokoval a klient muset pro reset do banky. No a co se nestalo? Nekdo proste projel ty cisla a vsem ten ucet zablokoval.
Neco podobneho se muze stat i applu. Nekdo projede spoustu uctu a zablokuje je. Teda, jak moc otravne je resetovani iCloud hesla?
IMO je toto vlastnost, ktera ma chranit hlupaky, ostatni to jen otravuje.
Podle me jsou tu 2 rozumna reseni:
1. uzivatelum nepovolit pouzivat jednoducha hesla a ponechat nekonecne mnoho pokusu pri zadani.
2. po xtem zadani spatneho hesla uzivateli nabidnout bud autorizaci pomoci mobilniho tel., mailu, reset icloud hesla NEBO vyckani x hodin do dalsiho pokusu a s tim spojene upozorneni uzivatele a Apple na nekolik spatne zadanych hesel.
Rozhodne nebylo spravne nechat vse byt, uzivatelum povolit jednoducha hesla a umoznit nekonecne mnoho pokusu je zadat. Je jasne, ze si za to mohou lide sami, ale firma musi pocitat s tim, ze lide jsou hloupy..
Zabezpeceni bylo opravdu na velmi spatne urovni. Stejne jako se musi chranit pred hackery, protoze vzdy nekdo muze utocit, musi chranit i pred hloupymi uzivateli, protoze ti budou take vzdy..
Třeba to druhé řešení by vedlo k tomu, že když by někdo zkoušel hesla a blokoval tím účty, přestaly by postiženým uživatelům fungovat jejich služby. Žádná synchronizace s iCloudem. Myslíte, že to je lepší? U takto velkých systémů prakticky neexistuje dokonalé řešení, spíš jen to nejméně problematické.
Apple má nosánek nahoru a jde mu už jen o iMoney.
Ted pro zmenu kaslou na opravu bashe.
keby sa Jobs mal moznost vratit na svet,tak prve co by urobil je to ze by minimalne polovinu vedenia v applu vyhodil,tam by asi fakt v tom vedeni nezostal vobec nikto,pretoze to co si ta sebranka v tej firme robi,tak to je uz fakt vrchol,a jak hovorim taky clovek ako bol Jobs tam velmi chyba :-( uz raz Jobsa za zivota s Applu vyhodili a dopadlo to fakt zle,a ked sa vratil tak Apple znovu fungoval,ale bohuzial teraz sa uz nevrati,tam fakt chyba clovek ktory nad nimi bude stat a mlatit ich po hlavach a sekat ruky