Applen jättämä aukko mahdollistaa iCloud-hyökkäykset
Nimimerkin "Pr0x13" taakse piiloutunut hakkeri tai ryhmä hakkereita on julkaissut GitHubissa iDictiksi nimetyn työkalun, jolla väitetään pystyvän murtautumaan iCloud-tileille.
Työkalun kerrotaan hyödyntävän niin sanottua brute force -hyökkäysmenetelmää, jossa tilille yritetään kirjautua erilaisilla salasanoilla niin kauan kunnes oikea tunnus-salasana-pari löytyy. Apple on rajoittanut salasanojen syöttökertojen määrää, mutta julkaistun työkalu hyödyntää ohjelmointivirhettä, mikä mahdollistaa salasanojen kokeilun useita kertoja.
Työkalu kokeilee yhteensä noin 500 eri salasanaa. Työkalulla ei pysty murtautumaan tilille, mikäli tunnukseen sidottua salasanaa ei löydy listalta. Jos salasana on taas listalla, kannattaa se vaihtaa mahdollisimman pian. Lisäksi hyökkäyksen kohteen Apple ID -tunnus / sähköpostiosoite pitää olla hyökkääjän tiedossa.
Applen laitteiden käyttäjien ei kannata olla erityisen huolissaan työkalusta, varsinkin jos käytössä on vahva ja vaikeasti arvattava salasana. Työkalu julkaistiin GitHubissa, jotta Apple paikkaisi mahdollisimman nopeasti brute force -hyökkäykset mahdollistavan aukon.
Viime syksynä iCloud nousi otsikoihin kun useiden julkkisten iCloudiin tallentamat nakukuvat vuotivat julkisuuteen.
3 KOMMENTTIA
RekookeR1/3
"Applen laitteiden käyttäjien ei kannata olla erityisen huolissaan työkalusta, varsinkin jos käytössä on vahva ja vaikeasti arvattava salasana."
Tuolla listalla oli jopa 12-16 merkkiä pitkiä salasanoja, vaikeasti arvattavia.
Ei taida olla nykyään hyötyä salasanasta, koska mikä tahansa salasana voidaan näemmä murtaa.
JoniS2/3
tottakai mikä tahansa salana voidaan murtaa ja on aina voitu, mutta se kuinka kauan siinä menee on asia erikseen.
G0lden_Kebab3/3
Niin eli voisin tarkentaa, että ohjelma suorittaa dictionary attackin, eli sanakirjahyökkäyksen...
Pelkkä "Bruteforce" hyökkäys on ihan himpun verran eri asia, kun yritetään murtaa käyttäen koko avainavaruutta (keyspace), algoritmiin.
Tuo valmis 500 nimen lst on pieni, kun niitä on 23miljoonan valmiin sanan listojakin olemassa, sanon että tolla ei vielä paljoa murreta, ei ainakaan suomalaisia sanoja. Kun kyseessä on siis se dictionary attack.
En nyt nostaisi hälytysvalmiutta tosta listasta ainakaan...apple korjatkoon aukkonsa, Toki jos se salis tuolta löytyy se on jo valmiiksi huono. Tuolla ei ollut AINUTTAKAAN oikeasti vaikeaa joukossa. piste.
Jos salasana on "password111" tai "princess222" tai joku helppo variaatio niin ei ihmekään jos tili lähtee alta.
Me ollaan hyvässä asemassa siinä mielessä että meillä on ääkköset. Suosittelen lämpimästi käyttämään niitä salasanassa jos mahdollista koska se pysäyttää ulkoomalaisen väsäämän sanakirjan hyvin. Ellei jopa täysin.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT