Na jaře tohoto roku došlo k opravě zásadní bezpečnostní chyby v autorizačním systému iCloudu, která za jistých okolností umožňovala nabourání účtu a to i v případě, že byl chráněný dvoufaktorovým ověřením.
Mohlo by vás zajímat
Na chybu v zabezpečení v roce 2020 přišel bezpečnostní analytik Laxman Muthiyah ze skupiny The Zero Hack. Za pomocí techniky zvané „race hazard-based brute forcing“ dokázal prolomit ochranu iCloudu z důvodu, že výchozím bodem pro tzv. brute force útoky byly zařízení s různými IP adresami, na které se tedy nevztahoval limit 5 pokusů a přihlášení, resp. resetování hesla, který Apple běžně využívá.
Pokud se snažíte do svého iCloud účtu přihlásit neúspěšně a pětkrát za sebou si vyžádáte změnu hesla , Apple možnost přihlášení pro onu konkrétní IP adresu na několik hodin zablokuje. Tím, že se Muthiyah snažil naboural do účtů z různých IP adres dokázal tento limit prolomit a tzv. brute force účtu se nakonec podařil.
Muthiyah tvrdí, že stačí znalost telefonního čísla napadané osoby k tomu, aby bylo možné obejít proces autorizace účtu skrze 6 místný číselný kód, který resetuje heslo k danému iCloud účtu. Pro úspěšný brute-force tohoto typu tak útočník zjednodušeně potřebuje zhruba 28 tisíc unikátních IP adres, ze kterých je útok vedený a ze kterých celkem odejde zhruba milion požadavků pro reset hesla. Z onoho milionu pokusů jeden uhádne šesticifernou kombinaci a útok je dokonán.
Mohlo by vás zajímat
Muthiyah s tímto nálezem kontaktoval v červnu 2020 Apple, kterému trvalo téměř rok, než tento nedostatek v zabezpečení iCloudu provedl. To se podařilo až v dubnu 2021, přičemž Apple argumentoval tím, že tento „brute-force“ funguje pouze na iCloud účty, které nikdy nebyly spojení s jakýmkoliv iOS, iPadOS či macOS zařízením. Navíc nutnost obstarání si 28 tisíc unikátních IP adres není něco, čeho by mohl dosáhnout každý, tudíž proveditelnost útoku je velmi omezená. I tak se však Apple rozhodl Muthiyahovi vyplatit odměnu 18 tisíc dolarů za nalezení chyby v zabezpečení. Ten ji však nepřijal, neboť mu přišla neadekvátní vzhledem k tomu, o jak závažný problém se ve skutečnosti jednalo.
