Dwóch holenderskich hakerów odkryło w usłudze iCloud poważna lukę bezpieczeństwa. Jej wykorzystanie pozwala na odblokowanie ukradzionego lub zgubionego iPhone‘a. Przy wykorzystaniu pewnej strony internetowej i skradzonego (lub zagubionego) smartfona, można oszukać system tak, by ten odblokował urządzenie.
iCloud to usługa, dzięki której można wykonać kopię zapasową zawartości urządzenia od Apple. Od systemu iOS 7 w tej usłudze pojawiło się nowe, dodatkowe zabezpieczanie. Jest ono częścią jednej z opcji iCloud – Znajdź iPhone, która pozwala odnaleźć zagubiony telefon na mapie lub usunąć z niego dane. Jeśli więc stracicie swoje urządzenie i będziecie chcieli usunąć z niego wszystkie dane, niezbędne będzie podanie Apple ID.
Wspomniani hackerzy stworzyli stronę internetową, która “oszukuje” iPhone‘a i umożliwia dostanie się do jego zawartości. Wystarczy takiego skradzionego lub zgubionego smartfona podłączyć do komputera i uruchomić wspomnianą stronę. Symuluje ona podłączenie się do serwerów iCloud, a tym samym odblokowuje cały telefon. Wtedy można z nim z robić już prawie wszystko. Takie narzędzie może posłużyć złodziejom, chociaż można je też wykorzystać, gdy zapomnimy swojego Apple ID, a nie mamy dostępu do konta pocztowego z którym jest powiązane.
Cała historia zaczyna się jednak dopiero tutaj. Hackerzy poinformowali o swoim odkryciu Apple, ale przez pięć miesięcy nie otrzymali od nich żadnej odpowiedzi. Dopiero niedawno ktoś z Cupertino napisał do nich wiadomości e-mail, ale Ci stwierdzili, że to zdecydowanie za późno i nie mają zamiaru się kontaktować z nikim z Apple.
Na Twitterze pełno jest dowodów na to, że za pomocą wspomnianej strony łatwo oszukać system. Wczoraj, 21 maja, za jej pomocą odblokowano ponad 5700 urządzeń. Wygląda to więc bardzo poważnie. Według jednego z ekspertów do spraw bezpieczeństwa, Stevena De Franco, Apple może naprawić swój błąd poprzez wydanie aktualizacji systemu iOS.
Dopóki jednak to się nie wydarzy, warto pamiętać o tej luce. Wspomniana strona internetowa może być naprawdę groźnym narzędziem w nieodpowiednich rękach.
- Luka w iOS 7: załączniki do maili nie są szyfrowane
- Czym jest Heartbleed: 5 kroków dla ochrony i bezpieczeństwa
Źródło: CultOfMac
Obserwuj @PawelKanski na Twitterze