Engadget navodi da je Apple je popravio veliki bug u svom Find My iPhone softveru koji je omogucio hakerima pristup iCloud racunima.
Popravak je dosao samo nekoliko sati nakon sto su hakeri objavili stotine golih fotografija "poznatih i slavnih" na web stranici 4chan u zamjenu za Bitcoin donacije.
Appleova Find My iPhone stranica za prijavu bila je ranjiva na takozvano "brute force" hakiranje. Hakeri su obicno bivali iskljuceni sa stranica ako su vise puta neuspjesno pokusavali pristupiti pomocu lozinke, medutim, otkriveno je da Find My iPhone API omogucuje korisnicima da vise puta isprobaju razlicite lozinke.
Sigurnosni istrazivac Alexey Troshichev otkrio je da je moguce kombinirati ovaj propust s popisom uobicajenih lozinki kako bi se doslo do pristupa iCloud racunima.
Ovdje je Troshicheva prezentacija:
http://www.slideshare.net/alexeytroshichev/slideshelf
Samo dva dana nakon sto je sigurnosni propust opisan na GitHubu, Apple se pokrenuo kako bi to popravio. Tzv. "iBrute" ranjivost je sredena nakon vijesti o curenju celebrity fotografija, iako su neki Appleovi servisi u Europi i dalje otvoreni za "brute force" napade.
https://twitter.com/ow/statuses/506397660576620546
Dakle, propust u Appleovom Find My iPhone je kriv za hakiranje iClouda? Govor u kojem je skrenuta paznja na ovaj propust odrzan je na Def Con konferenciji u Rusiji dana 30. kolovoza, ostavljajuci potencijalnim hakera samo mali vremenski period kako bi taj sigurnosni propust iskoristili, osim ako vec prije nisu bili svjesni "brute force" nacina. Dokazi sugeriraju da su fotografije "poznatih i slavnih" prikupljene u razdoblju od nekoliko tjedana, pa cak i nekoliko godina. Dakle, nije rijec o brzom jednodnevnom napadu, sto znaci da je mozda rijec o potpuno drugacijoj vrsti sigurnosnog propusta u iCloudu koji tek treba otkriti?!
