Kekurangan dalam perkhidmatan Find My iPhone Apple mungkin berada di belakang serangan yang menyebabkan ratusan akaun iCloud selebriti terganggu.
bagaimana untuk mengetahui sama ada telefon bimbit saya tidak dikunci
Skrip Python bukti konsep yang dikembangkan oleh HackApp kerana kekerasan memaksa iCloud telah beredar dalam talian selama beberapa hari sebelum gambar bogel 17 wanita terkenal, termasukPermainan kelaparanpelakon Jennifer Lawrence danJemaah Scottpelakon utama Mary E Winstead muncul dalam talian - nampaknya dicuri dari akaun iCloud mereka.
Penggodam itu mengaku mempunyai gambar lebih dari 100 selebriti wanita secara keseluruhan.
Kod itu nampaknya membolehkan penyerang meneka kata laluan berulang kali melalui Cari iPhone Saya tanpa mencetuskan penguncian atau memberi amaran kepada sasaran.
Setelah kata laluan ditemui, penyerang kemudian dapat menggunakannya untuk mengakses kawasan iCloud yang lain.
Apple sejak itu menambal lubang, walaupun ada tuntutan dibuat di Reddit bahawa patch hanya aktif di kawasan tertentu.
Walau bagaimanapun, penyelidik keselamatan Graham Cluley mendakwa sukar untuk mempercayai bahawa ini berjaya digunakan terhadap sebilangan besar akaun tanpa pengesanan dalam jangka waktu yang singkat.
Pilihan lain yang dikemukakan oleh Cluley dan penyelidik lain adalah bahawa mangsa serangan itu mempunyai jawapan kata laluan atau kata laluan yang mudah diteka.
Banyak laman web memberi anda pilihan ‘terlupa kata laluan anda’, atau meminta anda untuk melompat dengan menjawab ‘soalan rahsia’ untuk membuktikan identiti anda, kata Cluley.
Namun, dalam kes selebriti, sangat mudah untuk menentukan nama haiwan peliharaan pertama mereka atau nama ibu ibu mereka dengan carian Google yang mudah, tambahnya.
Rik Ferguson, penyelidik keselamatan dengan Trend Micro, juga berkata 'hack' skala besar Apple Apple tidak mungkin, menunjukkan bahawa bahkan poster asal tidak mendakwa perkara itu berlaku.
Dia, seperti Cluley, menyarankan penyerang itu mungkin menggunakan pautan kata laluan saya terlupa jika mereka sudah mengetahui dan mempunyai akses ke alamat e-mel yang digunakan mangsa untuk iCloud. Dia juga mencadangkan selebriti tersebut mungkin menjadi mangsa serangan pancingan data.
Reaksi Twitter dan ancaman undang-undang
Walaupun foto-foto tersebut pada awalnya dibocorkan di 4chan, gambar Jennifer Lawrence khususnya tidak mula lama muncul di Twitter.
Dalam waktu sekitar dua jam, Twitter mulai menangguhkan semua akun yang telah menerbitkan salah satu foto yang dicuri itu, tetapi mengikut garis masa dariCermin , rangkaian sosial sedang bermain permainan whack-a-mol, dengan gambar baru terus muncul selama lebih dari satu jam setelah ia mulai bertindak.
Mary E Winstead menggunakan Twitter sendiri untuk memanggil orang yang menerbitkan gambar tersebut dan mereka yang melihatnya.
Bagi anda yang melihat gambar yang saya ambil bersama suami saya bertahun-tahun yang lalu dalam privasi rumah kami, semoga anda berasa seronok dengan diri anda.
- Mary E. Winstead (@M_E_Winstead) 31 Ogos 2014
fokus windows 10 mengikut tetikus
Namun, dia akhirnya harus menarik diri dari platform untuk menjauhkan diri dari pesan-pesan kasar yang dia terima
Melancarkan rehat internet. Jangan ragu untuk mengetahui tentang bagaimana menjadi wanita yang bercakap mengenai apa sahaja di twitter
- Mary E. Winstead (@M_E_Winstead) 1 September 2014
Jurucakap Jennifer Lawrence telah mengatakan bahawa mereka akan melakukan tindakan undang-undang terhadap sesiapa sahaja yang menyebarkan foto tersebut.
Ini adalah pelanggaran privasi yang nyata. Pihak berkuasa telah dihubungi dan akan mendakwa sesiapa yang menyiarkan gambar Jennifer Lawrence yang dicuri, kata mereka.
Pada tahun 2011, tindakan serupa diambil ketika e-mel 50 selebriti termasuk Scarlett Johansson dan Christina Aguilera, digodam dan gambar bogel dicuri dan disebarkan secara terbuka.
Setelah siasatan FBI, pelaku, Christopher Chaney dari Jacksonville, Florida, dijatuhi hukuman sepuluh tahun penjara.
Langkah-langkah keselamatan
cara menghidupkan minecraft pengesanan sinar
Walaupun orang bukan selebriti cenderung menyebarkan gambar bogel mereka secara meluas sebagai orang terkenal, ia boleh dan masih berlaku.
Pakar keselamatan mengatakan bahawa insiden ini seharusnya menjadi peringatan pentingnya adanya langkah keselamatan yang berkesan untuk sebarang perkhidmatan dalam talian dan mendorong pengguna untuk memperhatikan apa yang dimuat ke awan.
Dengan peranti hari ini sangat berminat untuk mendorong data ke perkhidmatan cloud masing-masing, orang harus berhati-hati agar media sensitif tidak dimuat naik secara automatik ke web, atau peranti berpasangan lain, kata Chris Boyd, penganalisis perisik malware di Malwarebytes.Pro PC.
Ferguson mencadangkan mungkin orang-orang yang menjadi mangsa serangan itu lupa atau tidak menyedari bahawa Apple menyegerakkan foto di iPhone atau iPad Photo Stream pengguna secara automatik ke iCloud mereka.
Dalam kes ini nampaknya beberapa mangsa mungkin percaya bahawa memadam foto dari telefon mereka sudah cukup, katanya.
Boyd dan Ferguson mengesyorkan untuk mengetahui apakah dan bagaimana sandaran atau salinan bayangan data yang tersimpan dalam perkhidmatan cloud diambil dan bagaimana ia dapat dikendalikan.
Stefano Ortolani, penyelidik keselamatan di Kaspersky Lab, juga mencadangkan pengguna harus memilih data mana yang disimpan di awan dan melumpuhkan penyegerakan automatik.
Anda juga boleh berpendapat bahawa telefon pintar, yang selalu dihubungkan ke internet, bukan tempat terbaik untuk gambar bogel, kata Boyd - sentimen yang digemari oleh Cluley dan Ferguson.
Pro PCmenghubungi Apple untuk bertanya sama ada syarikat itu menyedari adanya peretasan besar-besaran terhadap perkhidmatan iCloudnya, tetapi tidak mendapat sambutan pada masa penerbitan.