Новости и события » Общество » Apple преуменьшила опасность критической уязвимости в iCloud

Apple преуменьшила опасность критической уязвимости в iCloud

Apple преуменьшила опасность критической уязвимости в iCloud

Исследователь в области кибербезопасности Лаксман Муфия (Laxman Muthiyah) сообщил об обнаружении критической уязвимости в функции сброса пароля Apple. Ее эксплуатация позволяет перехватить контроль над любой учетной записью iCloud, однако Apple преуменьшила влияние проблемы.

Проблема связана с обходом различных мер безопасности, применяемых Apple для предотвращения попыток брутфорс-атак на функцию "забытый пароль" для учетных записей Apple. При попытке сбросить пароль пользователю предлагается указать свой номер телефона или адрес электронной почты, чтобы получить одноразовый код доступа из 6 цифр. Таким образом, злоумышленник, желающий получить доступ к учетной записи, сначала должен знать номер телефона или адрес электронной почты жертвы, а затем правильно угадать шестизначный код или иметь возможность перебрать примерно 1 млн возможных вариантов.

Для предотвращения подобного подбора кода Apple ограничила количество предоставляемых попыток до 5, а также ограничила количество одновременных POST-запросов к одному и тому же серверу с одного IP-адреса до 6. Таким образом злоумышленнику потребуется 28 тыс. IP-адресов для отправки миллиона запросов.

В качестве дополнительной меры безопасности Apple также занесла в черный список поставщиков облачных услуг и, предположительно, автоматически отклоняет POST-запросы, поступающие от AWS, Google Cloud и пр. Однако исследователь обнаружил, что злоумышленник может отправлять запросы, используя незаблокированные облачные сервисы для подбора 6-значного кода с целью получения доступа к учетной записи iCloud.

ИБ-эксперт сообщил Apple об уязвимости 1 июля 2020 года, и в апреле 2021 года техногигант выпустил патч. Исследователь утверждал, что Apple не уведомила его об устранении проблемы. Кроме того, по словам специалистов Apple, только "очень небольшая часть учетных записей когда-либо подвергалась риску данной атаки, и крайне мало пользователей устройств Apple были уязвимы к ней".

"Эта атака работает только против учетных записей Apple ID, которые никогда не использовались для входа на защищенные паролем iPhone, iPad или Mac", - заявили в компании, преуменьшая оценку исследователя.

По словам Мутии, компания попыталась скрыть тот факт, что уязвимость была критической, и даже изменила соответствующую страницу поддержки. Он считает, что изменение было внесено в октябре 2020 года после отправки уведомления о проблеме.

Apple предложила исследователю вознаграждение за обнаружение уязвимости в размере $18 тыс., но он отказался от нее, заявив, что компания значительно преуменьшила значение уязвимости и должна была выплатить ему $100 тыс. или даже $350 тыс.

Apple IPhone


Вслед за Турцией пожары охватили Грецию: эвакуируют целые деревни...

Вслед за Турцией пожары охватили Грецию: эвакуируют целые деревни (видео)

31 июля в деревне Зирия в Ахее, Греция, вспыхнул пожар, который быстро распространился на огромную площадь. В результате власти приказали эвакуировать четыре близлежащие деревни: Ламбири, Камарес, Зирия и Ано Зирия. Кроме того, закрыты старая и новая...

сегодня 00:22

загрузка...


загрузка...

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх