Michal Ždanský Ar ôl sawl diwrnod o ymchwiliad mewnol Apple, cyhoeddodd y cwmni ddatganiad ynghylch hacio cyfrifon iCloud o rai enwogion, y gollyngodd ei luniau cain i'r cyhoedd. Yn ôl Apple, ni chafodd y lluniau eu gollwng trwy hacio gwasanaethau iCloud a Find My iPhone, fel y ffordd y cafodd yr hacwyr y lluniau, penderfynodd peirianwyr cwmni California ymosodiad wedi'i dargedu ar enwau defnyddwyr, cyfrineiriau a chwestiynau diogelwch. Fodd bynnag, ni wnaethant sylw ar sut y cafwyd y lluniau iCloud.
Yn ôl Wired, cafodd y cyfrineiriau eu cracio gan ddefnyddio meddalwedd fforensig a ddefnyddir gan asiantaethau'r llywodraeth. Ar y Bwrdd Bwletin Anon-IB, lle ymddangosodd nifer o luniau enwogion, bu rhai aelodau'n trafod yn agored ddefnyddio'r meddalwedd ar ran Torrwr Cyfrinair Ffôn ElcomSoft. Mae hyn yn caniatáu ichi nodi'r enwau defnyddwyr a'r cyfrineiriau a gafwyd i adfer y ffeiliau wrth gefn cyfan o'r iPhone a'r iPad. Yn ôl arbenigwr diogelwch a gyfwelwyd gan Wired, mae'r metadata o'r lluniau yn cyfateb i'r defnydd o'r feddalwedd honno.
Dim ond enwau defnyddwyr (Apple ID) a chyfrineiriau y bu'n rhaid i'r hacwyr eu cael, y mae'n debyg eu bod wedi'u cyflawni diolch i'r dull a grybwyllwyd yn flaenorol gan ddefnyddio'r rhaglen iBrute ynghyd â bregusrwydd Find My iPhone, a oedd yn caniatáu i ymosodwyr ddyfalu'r cyfrinair heb gyfyngiad ar nifer yr ymdrechion. Clytio Apple y bregusrwydd yn fuan ar ôl iddo gael ei ddarganfod. Roedd y ffaith nad oedd dioddefwyr yr ymosodiad haciwr yn defnyddio dilysu dau gam, sy'n gofyn am nodi cod a anfonwyd at y ffôn, hefyd yn chwarae rhan fawr. Dylid nodi nad yw dilysu dau gam yn berthnasol i wasanaethau wrth gefn iCloud a Photo Stream, fodd bynnag, byddent yn ei gwneud hi'n llawer anoddach cael cyfrineiriau enw defnyddiwr yn y lle cyntaf.
Fodd bynnag, hyd yn oed gyda dilysu dau gam, nid yw iCloud yn cael ei warchod yn ddelfrydol. Fel y darganfuwyd gan Michael Rose o'r gweinydd TUAW, wrth syncing Photo Stream, Safari backup, a negeseuon e-bost i gyfrifiadur Apple newydd, nid oes unrhyw rybudd i'r defnyddiwr bod data wedi'i gyrchu o'r cyfrifiadur newydd. Dim ond gyda gwybodaeth yr ID Apple a'r cyfrinair y bu'n bosibl lawrlwytho'r cynnwys a grybwyllwyd heb yn wybod i'r defnyddiwr. Fel y gallwch weld, mae gan wasanaethau cwmwl Apple rai craciau o hyd, hyd yn oed os yw'r defnyddiwr wedi'i ddiogelu gan ddilysu dau gam, nad yw, gyda llaw, ar gael o hyd yn, er enghraifft, y Weriniaeth Tsiec neu Slofacia. Wedi'r cyfan, ar ôl y berthynas hon, gostyngodd cyfranddaliadau Apple bedwar y cant.
Ni fyddech yn credu sut y gall cwpl o enwogion gyda chyfrinair dementedly syml a lluniau porn ar eu ffôn symud y cyfrannau o gwmni mor fawr :)
Mae ganddynt ran annatod yn y ffaith bod defnyddwyr wedi colli data a chryn dipyn o breifatrwydd, felly yn yr achos hwn mae'n berffaith iawn i gyfranddaliadau ostwng. O leiaf mae'n dysgu rhoi sylw i ddiogelwch a byddwn ni'n defnyddwyr o leiaf yn ymddangos yn iawn ;-).
Felly, cafodd cyfrineiriau eu cracio gan ddefnyddio rhaglen iBrute, sy'n defnyddio dull prawf / gwall i roi cynnig ar bob cyfrinair a ddefnyddir yn aml yn ôl rhai geiriadur. Y gwendid oedd bod gan y dioddefwyr eiriadur neu gyfrinair gwan ac ni wnaeth Apple rwystro'r dull hwn (e.e. trwy gyfyngu ar nifer yr ymdrechion a fethwyd y funud) yn Find My Phone (sydd bellach yn sefydlog). Unwaith y byddai'r cyfrineiriau ganddynt, gallent wneud beth bynnag yr oeddent ei eisiau. Ond er mwyn peidio â datgelu gwybodaeth am gofrestriad dyfais arall gyda'r un Apple ID, fe wnaethant lawrlwytho copi wrth gefn cyflawn o'r iPhone o iCloud gan ddefnyddio'r rhaglen EPPB a thynnu lluniau o'r copi wrth gefn gan ddefnyddio'r rhaglen honno. Casgliad - mae cyfrinair da yn hanfodol.
Ni fyddwn yn synnu pe bai hefyd yn symudiad cyflogedig. taflu cymaint o faw â phosib ar y cawr Apple ychydig ddyddiau cyn cyflwyno pethau newydd gwych. Mae hefyd yn un o'r sefyllfaoedd posibl o sut y gallai fod. Er mwyn i berson gyffroi am stociau heddiw, y cyfan sy'n rhaid i chi ei wneud yw sylweddoli pa mor sensitif ydyw. Ond bydd yr un sydd orau bob amser yn cael ei daflu sbin, ni fydd yn newid.
Mae ganddynt ran annatod yn y ffaith bod defnyddwyr wedi colli data a chryn dipyn o breifatrwydd, felly yn yr achos hwn mae'n berffaith iawn i gyfranddaliadau ostwng. O leiaf mae'n dysgu rhoi sylw i ddiogelwch a byddwn ni'n defnyddwyr o leiaf yn ymddangos yn iawn ;-).
Yn sicr, nid yw Apple byth yn talu am unrhyw beth. Peidiwch ag amddiffyn y cyngor ar bob cyfrif. Mae eisoes yn embaras. Maent newydd ei rannu
Dim ond heddiw derbyniais e-bost gan "checkauth@apple.com". Mae'n edrych yn union fel Apple, ac mae'n dweud bod cais nad ydw i hyd yn oed yn ei ddefnyddio wedi'i lawrlwytho o'm cyfrif. Pan es i newid fy nghyfrinair, fe wnaeth fy ailgyfeirio i dudalen sy'n edrych fel Apple.com, ond mae'r cyfeiriad URL yn amlwg yn wahanol.