Apples iCloud er havnet i centrum for sagen om offentliggørelsen af en række berømtheders private fotos, som i løbet af weekenden blev spredt via blandt andet grupper på 4chan og Reddit. Apple har afvist, at der er skulle være tale om et sikkerhedsproblem hos selskabet, men alligevel peger flere sikkerhedseksperter på uhensigtsmæssigheder i Apples opsætning.
Sikkerhedsekspert og iOS-hacker Jonathan Zdiarski opsummerer i et blogindlæg, hvordan hackingen af berømthedernes iCloud-kontoer kan være foregået, hvis teorien om et nu lukket sikkerhedsproblem hos Apple holder stik.
Apple-brugere kan tage backup af indholdet på deres telefoner til iCloud. Ifølge Apple har iCloud ikke været hacket, men der kan have været tale om, at brugernavne og adgangskoder har været kompromitteret.
Nogenlunde samtidig med offentliggørelsen af de private fotos dukkede et script op, døbt iBrute, som kunne omgå de begrænsninger, der skulle forhindre mange hurtigt efter hinanden gentagne forsøg på at gætte en iCloud-adgangskode.
Sikkerhedsekspert Nik Cubrilovic vurderer imidlertid i et blogindlæg, at der ikke er noget i den forudgående debat på diverse diskussionsgrupper, der tyder på, at iBrute har været benyttet til hackingen.
I stedet ser det ud til, at billederne stammer fra grupper af personer, som målrettet forsøger at tiltvinge sig adgang til andres data hos ikke bare Apples iOS, men også Android og Windows Phone. Den typiske fremgangsmåde er målrettet phishing, som skal forsøge at få offeret til at installere et spionprogram.
En anden fremgangsmåde er at udnytte offentligt tilgængelige oplysninger fra eksempelvis Facebook til at få de pågældende cloud-tjenester til at udlevere login-oplysningerne.
Apples opsætning gør det ifølge Nik Cubrilovic muligt at få verificeret en e-mailadresse og derefter afprøve svarene på sikkerhedsspørgsmål. Det ville være mere hensigtsmæssigt, hvis de enkelte trin var samlet ét sted, så eventuelle hackere ikke kunne afprøve ét element af gangen.
Apple giver mulighed for at bruge to-faktor-autentificering, men ifølge Jonathan Zdiarski gælder det ikke for adgangen til backups i iCloud.
Der har sandsynligvis været tale om iCloud-brugere med forholdsvis svage adgangskoder eller svar på sikkerhedsspørgsmål. Derfor kritiserer Nic Cubrilovic også Apples password-politik for ikke at kræve tilstrækkeligt stærke kodeord.
Det er på ingen måde kun berømtheder, der er i skudzonen for de grupper, som står bag denne type hacking. Rådet til brugere af alle typer cloud-backup er derfor, at de bør vælge stærke kodeord og sørge for, at svarene på sikkerhedsspørgsmål er en lang, tilfældig tekststreng.
Desuden bør man benytte en særskilt e-mailadresse med to-faktor-autentificering til nulstilling af adgangskoder for disse tjenester.
Leave a Reply