Interjúban beszélt Tim Cook arról, hogyan történt a hírességek képeinek megszerzése, és mit tervez az Apple, hogy biztonságosabbá tegye a rendszerét.
Először is kiemelte, hogy egyetlen Apple ID-hoz tartozó jelszót sem szereztek meg tőlük, a támadás egyrészt adathalász módszereket alkalmazott, hogy megszerezze a felhasználó belépési adatait és jelszavát, másrészt a biztonsági kérdésekre adott helyes válaszokkal tudtak bejutni a falon.
Álljunk is itt meg egy pillanatra. A biztonsági kérdéseknél.
Ez úgy működik, hogy ha “elfelejtetted” a jelszavad, az iCloud.com oldalon választhatod alul, hogy segítsenek. Ekkor átkerülsz az iforgot.apple.com oldalra.
Itt meg kell adni az Apple ID-det. Egy ilyen támadás esetén ezt érdemes már tudni tehát. Egy Apple Store dolgozó állítólag könnyen hozzáfér.
Ezután meg kell adni a születési idődet. Ha annyira ász vagy, hogy a Wikipedián fent van, esetleg a Facebook ismeri - neked is ismeri, igaz? -, akkor add meg a kutyád születési dátumát, vagy mondjuk Humphrey Bogartét. Ő 1899. december 25-én született. Tutira utálta.
Szóval adathalászattal itt az esetek nagy részében át lehet jutni. Jön két biztonsági kérdés, olyan, hogy ki volt az első tanárod, meg milyen utcában laktál először. Ezeket már csak az ismerőseid tudhatják, de ők tudhatják.
Ha sikeresen válaszoltál, már írhatod is be az új jelszót. Semmi email verifikáció, hogy kattints ide, ha tényleg akarod. Amivel el is érkeztünk ahhoz a részhez, hogy miért utálom a biztonsági kérdéseket, ha nincsenek összekötve email-es jóváhagyással.
Na, Tim Cook megígérte, hogy ezentúl másként lesz. Első lépésként, amikor az appleid.apple.com oldalra léptem, a rendszer kényszerített a jelszóváltoztatásra, mert látta, hogy gyengét adtam meg. Nem hiszem, hogy ez most bevezetett lépés, de drasztikus.
Két hét múlva élesedik az új rendszer, amivel a felhasználók emailt és push-olt értesítést kapnak a telefonjukra, amikor megváltoztatják a jelszót, vagy az iCloud adatokat restore-olják egy új eszközre. Eddig ugyanis csak az első esetben ment üzenet, és akkor is csak email.
Sőt: azonnali beavatkozási lehetőségünk is lesz, leállíthatjuk a restore-t, megadhatunk másik jelszót, és remélhetőleg elektromos áramot is vezethetünk a támadóba. Ez utóbbit nem erősítették meg.
Gondolom, most mindenki arra gondol, hogy úristen, miket adtam meg biztonsági kérdéseknek? Ezeket megváltoztathatod az appleid.apple.com oldalra belépve, Apple ID kezelése, Jelszó és Biztonság, Elfelejtette a válaszokat? gombokra nyomogatva.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.