A múlt hét elég hereszorítóra sikerült az Apple számára, így mi mással kezdhetnénk a hétfőt, mint hogy
újabb biztonsági problémákat feszegetünk.
Az Elcomsoft blogján egy érdekes olvasmányra bukkantunk - miután Esőjáró (ki emlékszik még a régi Beszmacre? Az Esőjáróra is emlékszik) átküldte nekünk, amit köszi. Ebben a szerző részletezi, miként jutottunk odáig, hogy
egy iOS készülékünk négy (vagy hat) karakteres jelkódjának ismeretében gyakorlatilag mindenünket kiszolgáltatjuk egy támadónak.
Hiába ugyanis az arc- és az ujjlenyomat-felismerő, van egy alacsonyabb kerítés az iOS eszközökön, amit át lehet ugrani: egy felhasználó által megadott négy számos karaktersor. 1234, 2580, 0000 és a szokásos, általában választott jelkódok.
forrás: Danielamitay.com
Persze ez mindig is így volt. A különbség, hogy az iOS 11 megjelenése óta ha valaki ezzel a kóddal bejut a telefonunkra, mindenhez hozzájutott. Ugyanis míg eddig a titkosított backupunkat a jelszó ismerete nélkül nem tudták visszafejteni még a jelkóddal történő belépés után sem, addig az iOS 11-ben egyszerűen visszaállítható a jelszóval védett backup, néhány gomb megnyomásával a támadó új, már védtelen backupot nyomhat, vagy épp kinyerhet jelszavakat a telefonról egy egyszerű szoftverrel - írja a blog. A Google jelszó is pillanatok alatt kinyerhető, innen pedig további adatokat lehet szerezni, valamint az eszközről lezárhatják a többi eszközünket is.
Abban az esetben, ha az iPhone-on régebbi iOS fut, ami nem engedi törölni a biztonsági mentéshez tartozó jelszót, akkor frissíteni lehet iOS 11-re. Viszont ez nem minden eszközön lehetséges.
…
Ha valaki rendelkezik az iPhone jelkódjával, akkor képes:- Megváltoztatni az Apple ID jelszót
- Eltávolítani az iCloud lockot
- Megtudni az ugyanezen Apple ID-val regisztrált másik készülékek lokációját
- Távolról lezárni vagy teljesen törölni azokat a készülékeket
- Kicserélni az eredetileg megadott megbízható telefonszámot (onnantól a kétlépcsős azonosítás már pofonegyszerű)
- Mindenhez hozzáférni, ami a felhasználó iCloud fiókjában vanÖsszegezve: az iOS 11 megjelenésével a fejlesztők inkább a felhasználók kényelmére helyezték a hangsúlyt, mint inkább a biztonságra. Ha egy támadó rendelkezik az iPhone jelkódjával, akkor egyszerűen nem marad több biztonsági réteg, ami megakadályozná a támadót abban, hogy hozzáférjen adatainkhoz. Apple fiókok jelszavai, cloud biztonsági mentések, hívások, böngészési előzmények stb. A támadó még az irányítást is megszerezheti a többi eszközünk felett, ami az Apple ID-val van regisztrálva. Ez félelmetes. Mért döntött úgy az Apple, hogy ez eddig tökéletesen működő egyensúlyt a biztonság és a kényelem között felborítsa?
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.