Новости
Уязвимость Apple iCloud могла стать причиной утечек откровенных фотографий знаменитостей
23

Уязвимость Apple iCloud могла стать причиной утечек откровенных фотографий знаменитостей

celebimageleaks

В последний день лета в сеть просочились откровенные фотографии главной героини трилогии «Голодные игры» Дженнифер Лоуренс и десятков других знаменитостей, которые мгновенно породили оживленные обсуждения. Они были опубликованы анонимным хакером поздно вечером на сайте 4Chan, а затем на Reddit и сервисе обмена изображениями Imgur.

Первоначальные сообщения содержат предположения о том, что массовая утечка фотографий различных кинозвезд и знаменитостей может быть обусловлена уязвимостью в облачном сервисе Apple iCloud.

До сих пор никто не может в деталях и с полной уверенность рассказать, каким образом произошла утечка личных фотографий. Тем не менее, некоторые проявляющие к инциденту чрезмерный интерес разработчики считают, что им удалось найти один из наиболее вероятных способов получения несанкционированного доступа к аккаунтам iCloud.

Screen-Shot-2014-09-01-at-10.49.17-pm

Потенциальная уязвимость имеет отношение к одному проекту на сервисе для хостинга IT-проектов Github, образно называемом ibrute. Написанный на языке Python скрипт основан на уязвимости API сервиса Find my iPhone. Он делает возможным использование обычного перебора (метод брутфорс) для взлома нужных учетных записей Apple iCloud. За день до того, как произошла утечка изображений, разработчики ibrute сообщили об отсутствии механизмов защиты от брутфорса в службе Find my iPhone. Эта уязвимость предоставляет злоумышленникам возможность подбирать пароль бесконечно, не опасаясь какой-либо блокировки или уведомления владельца учетной записи о попытках взлома. Подобранный пароль можно свободно использовать для доступа ко всем функциональным возможностям iCloud.

В случае применения именно этого инструмента требуются только адреса электронной почты знаменитостей. Впрочем, вполне возможно, что хакеру или группе хакеров хватило и одного адреса электронной почты, позволяющего отыскать другие почтовые ящики по принципу домино.

Хорошей новостью (своевременная реакция или случайность) является то, что на данный момент брешь в защите закрыта.

Screen-Shot-2014-09-01-at-10.15.29-pm

Подтверждением тому является соответствующая заметка на сайте TheNextWeb. Обозреватели ресурса решили проверить эффективность инструмента самостоятельно, но после пяти попыток подбора пароля их учетная запись была заблокирована.

Как бы там ни было, скрипт по-прежнему существует и теперь он носит клеймо «proof of concept», т.е. доказывает принципиальную возможность создания такого типа инструментов. Представители Apple пока никак не прокомментировали возможность взлома учетных записей iCloud вышеописанным способом. В то же время на вопрос обозревателей TheNextWeb о том, использовался ли ibrute для получения личных фотографий знаменитостей, создатель инструмента ответил, что пока не видел никаких доказательств этому предположению, но не исключает возможность применения именно этого скрипта.

На данный момент не ясно, сколько времени существовала данная уязвимость, а также количество пользователей iCloud с простейшими паролями, которые могли стать жертвами вследствие подобных атак. Не лишним будет еще раз отметить, что на данный момент нет никаких прямых доказательств того, что фотографии знаменитостей были получены через iCloud, хоть хакер и заверял, что снимки были получены благодаря взлому облачной службы Apple.

Стоит отметить, что в США подобные кражи личных фотографий известных персон преследуются в установленном законом порядке. В качестве последних примеров можно вспомнить арест Джеймса Абрахамса, шантажировавшего обнаженными снимками победительницу конкурса красоты среди подростков Miss Teen USA Кэссиди Вульф, а также Кристофера Чейни. Последний из чистого любопытства взломал почтовые ящики звезд Голливуда (Джессика Альба, Мила Кунис, Скарлетт Йоханссон и др.) и более двух лет (2008-2011 года) следил за их жизнью через аккаунты в почтовых сервисах. В конце 2012 года он был приговорен к 10 годам тюремного заключения федеральным судом Лос-Анджелеса.

Источник: Engadget и TNW


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: