Michal Ždanský Baada ya siku kadhaa za uchunguzi wa ndani wa Apple, kampuni hiyo ilitoa taarifa kuhusu kudukua akaunti za iCloud za baadhi ya watu mashuhuri, ambaye picha zake maridadi zilivuja kwa umma. Kwa mujibu wa Apple, picha hizo hazikuvujishwa kwa kudukuliwa huduma za iCloud na Find My iPhone, kwani jinsi wadukuzi walivyopata picha hizo, wahandisi wa kampuni ya California waliamua mashambulizi yaliyolengwa dhidi ya majina ya watumiaji, nywila na maswali ya usalama. Walakini, hawakutoa maoni juu ya jinsi picha za iCloud zilipatikana.
Kulingana na Wired, nywila zilivunjwa kwa kutumia programu ya uchunguzi inayotumiwa na mashirika ya serikali. Kwenye Ubao wa Matangazo Anon-IB, ambapo picha kadhaa za watu mashuhuri zilionekana, baadhi ya wanachama walijadili kwa uwazi kwa kutumia programu kwa niaba ya Kivunja Nenosiri cha Simu ya ElcomSoft. Hii hukuruhusu kuingiza majina ya watumiaji na nywila zilizopatikana ili kupata faili zote chelezo kutoka kwa iPhone na iPad. Kulingana na mtaalam wa usalama aliyehojiwa na Wired, metadata kutoka kwa picha inalingana na matumizi ya programu hiyo.
Wadukuzi walilazimika tu kupata majina ya watumiaji (Kitambulisho cha Apple) na nywila, ambazo walipata kutokana na njia iliyotajwa hapo awali kutumia programu. Brute pamoja na mazingira magumu ya Tafuta iPhone Yangu, ambayo yaliwaruhusu washambuliaji kukisia nenosiri bila kikomo cha idadi ya majaribio. Apple ilidhibiti hatari hiyo mara tu baada ya kugunduliwa. Ukweli kwamba wahasiriwa wa shambulio la hacker hawakutumia uthibitishaji wa hatua mbili, ambayo inahitaji kuingiza nambari iliyotumwa kwa simu, pia ilichukua jukumu kubwa. Ikumbukwe kwamba uthibitishaji wa hatua mbili hautumiki kwa huduma za chelezo za iCloud na Utiririshaji wa Picha, hata hivyo, zitafanya iwe ngumu zaidi kupata nywila za jina la mtumiaji hapo kwanza.
Walakini, hata kwa uthibitishaji wa hatua mbili, iCloud haijalindwa vyema. Kama ilivyogunduliwa na Michael Rose wa seva TUAW, wakati wa kusawazisha Mtiririko wa Picha, chelezo ya Safari na ujumbe wa barua pepe kwa kompyuta mpya ya Apple, hakuna onyo kwa mtumiaji kwamba data imefikiwa kutoka kwa kompyuta mpya. Tu kwa ujuzi wa ID ya Apple na nenosiri iliwezekana kupakua maudhui yaliyotajwa bila ujuzi wa mtumiaji. Kama unaweza kuona, huduma za wingu za Apple bado zina nyufa, hata ikiwa mtumiaji analindwa na uthibitishaji wa hatua mbili, ambayo, kwa njia, bado haipatikani, kwa mfano, Jamhuri ya Czech au Slovakia. Baada ya yote, baada ya jambo hili, hisa za Apple zilipungua kwa asilimia nne.
Huwezi kuamini jinsi watu kadhaa mashuhuri walio na nenosiri rahisi la kiakili na picha za ngono kwenye simu zao wanaweza kuhamisha hisa za kampuni kubwa kama hiyo :)
Wana sehemu muhimu katika ukweli kwamba watumiaji walipoteza data na faragha kidogo, kwa hivyo katika kesi hii ni sawa kwa hisa kuanguka. Angalau inajifunza kuzingatia usalama na sisi watumiaji angalau tutaonekana kuwa sawa ;-).
Kwa hivyo nywila zilivunjwa kwa kutumia programu ya iBrute, ambayo hutumia njia ya majaribio/kosa kujaribu manenosiri yote yanayotumiwa mara kwa mara kulingana na kamusi fulani. Udhaifu ulikuwa kwamba waathiriwa walikuwa na kamusi au nenosiri dhaifu na Apple haikuzuia njia hii (kwa mfano kwa kupunguza idadi ya majaribio yaliyoshindwa kwa dakika) katika Tafuta Simu Yangu (sasa imerekebishwa). Mara tu walipokuwa na nywila, wangeweza kufanya chochote wanachotaka. Walakini, ili wasifichue habari kuhusu usajili wa kifaa kingine kilicho na Kitambulisho sawa cha Apple, walipakua nakala kamili ya iPhone kutoka iCloud kwa kutumia programu ya EPPB na kutoa picha kutoka kwa nakala rudufu kwa kutumia programu hiyo. Hitimisho - nenosiri nzuri ni lazima tu.
Sitashangaa ikiwa pia ni hatua ya kulipwa. kutupa uchafu mwingi iwezekanavyo kwenye kampuni kubwa ya Apple siku chache kabla ya kuanzishwa kwa vitu vipya zaidi. Pia ni mojawapo ya hali zinazowezekana za jinsi ingeweza kuwa. Ili mtu aweze kuchangamkia hisa leo, unachotakiwa kufanya ni kutambua jinsi ilivyo nyeti. Lakini yule ambaye ni bora atakuwa akitupwa kila wakati, haitabadilika.
Wana sehemu muhimu katika ukweli kwamba watumiaji walipoteza data na faragha kidogo, kwa hivyo katika kesi hii ni sawa kwa hisa kuanguka. Angalau inajifunza kuzingatia usalama na sisi watumiaji angalau tutaonekana kuwa sawa ;-).
Hakika, Apple hailipi chochote. Acha kutetea baraza kwa gharama yoyote. Tayari ni aibu. Walishiriki tu
Leo tu nimepokea barua pepe kutoka "checkauth@apple.com". Inaonekana kama Apple, na inasema kwamba programu ambayo hata situmii imepakuliwa kutoka kwa akaunti yangu. Nilipoenda kubadilisha nenosiri langu, lilinielekeza kwenye ukurasa unaofanana na Apple.com, lakini anwani ya URL ni tofauti kabisa.