最近、Apple は iCloud の重大なセキュリティ上の欠陥にパッチを当てました。 Laxman Muthiyah という名前の研究者は、パスワード変更システムの脆弱性を実際に発見しました。ハッカーがそれを乗っ取り、被害者のアカウントを制御する可能性があります。専門家は、クパチーノの会社が問題の範囲を最小限に抑えたと主張している。
データをオンラインに保存することは、デバイス上の空き容量を節約するための非常に実用的なソリューションとなります。しかし、もちろんリスクがないわけではありません。 iCloud はこれを何度か経験しており、特に有名人の写真が盗まれた事件のときだけでなく、次のような理由もある。クラウドサービスに対する複数のマルウェア攻撃。言うまでもなくApple がユーザーから隠そうとしている脆弱性。
サイバーセキュリティ研究者の Laxman Muthiyah 氏は、パスワード変更機能に影響を与える大規模なセキュリティ上の欠陥を発見しました。ユーザーが自分のアカウントにアクセスしたことを忘れた場合に再度アクセスできるようにするため、このサービスは 6 桁のコードを SMS または電子メールで送信します。ハッカーが目的を達成したい場合は、被害者の電話番号または電子メール アドレスを知っていて、送信された 6 桁のコードを推測する必要があります。百万といくつかの可能性。
ハッカーにとって最も効果的な解決策は、ブルートフォース手法を使用することになります。 Apple はこの事態を予見し、いかなる試みも阻止しました。試行回数を 5 回に制限する。さらに、同じ IP アドレスからのリクエストの数は合計 6 を超えることはできません。したがって、悪意のある個人は、次のことを行う必要があります。28,000 の異なる IP アドレスiCloud から送信された 6 桁のコードを「ブルートフォース」で攻撃します。最後に、プラットフォームのセキュリティをさらに強化するために、Apple はクラウド サービスからのすべてのリクエストをブロックしますアマゾン ウェブ サービスや Google Cloud など。
しかし実際には、Laxman Muthiyah 氏が発見したように、すべてのクラウド サービスがブロックされるわけではありません。ブルートフォース攻撃への扉を開く。「まず SMS からの 6 桁のコードをバイパスし、次に電子メール アドレスで受信した 6 桁のコードをバイパスする必要があります。」と研究者は説明する。「どちらの回避策も同じ方法と環境に基づいているため、2 番目の回避策を試すときに何も変更する必要はありません。」。ラックスマン氏はこう指摘する。2要素認証でもこの欠陥については何もできません、彼はそれを認識していますが、「攻撃を実行するのは簡単ではありません。」
同じテーマについて:Windows 10 — iTunes と iCloud はランサムウェアに感染する可能性があるので、アップデートしてください。
研究者は 2020 年 7 月に直ちに Apple にこの脆弱性について警告しました。修正されたのは今年の4月ラックスマンには知らされずに。「ごく少数のアカウントが危険にさらされており、脆弱なAppleデバイスユーザーは極めて少数でした。」クパチーノの会社は最終的に彼にこう告げた、と付け加えた。「この攻撃は、パスワードで保護された iPhone、iPad、または Mac へのサインインに一度も使用されていない Apple ID アカウントに対してのみ機能します。」。
Appleは状況の深刻さを軽視した
ラクスマン・ムティヤを動かさない正当化。彼によれば、この欠陥は 2020 年 10 月に修正されました、彼の警告から数か月後。 Apple は、パスワード検証の脆弱性は存在しなかったと述べていますが、研究者は報告後にアップデートが行われたことを確信しています。
「私の報告後に彼らがそれを修正したとしたら、その脆弱性は私が当初考えていたよりもはるかに深刻なものになってしまいました。ブルートフォースでパスワードを判定することで、応答を区別することで正しいアクセスコードを特定できるようになります。したがって、iCloud アカウントを制御できるだけでなく、それに関連付けられている Apple デバイスのコードを発見することもできます。 »。
Apple が欠陥の深刻さをユーザーから隠そうとしたかどうかは関係なく、欠陥が消えてしまったという事実は変わりません。したがって、ラックスマン・ムティヤ氏の発言が真実であるかどうかを知ることは困難である。後者は、Apple が彼にオファーしたと主張している彼の報告書と引き換えに18,000ドルこの金額は、脆弱性の程度に比べて低すぎると判断し、彼は拒否しました。
ソース :セキュリティウィーク
![チュートリアル [チュートリアル] 360 度動画や写真を Facebook や Youtube にアップロードする方法](https://yumie.trade/statics/image/placeholder.png)
