Apple memperingatkan kerentanan kekerasan iCloud 6 bulan sebelum Celebgate

Apple memperingatkan kerentanan kekerasan iCloud 6 bulan sebelum Celebgate

Apple tahu sejak Maret 2014 tentang lubang keamanan yang membuat data pribadi pengguna iCloud rentan, menurut email yang bocor antara perusahaan dan peneliti keamanan terkemuka.



Email tersebut, diperoleh awal bulan ini oleh Daily Dot dan ditinjau oleh beberapa ahli keamanan, menunjukkan Ibrahim Balic | , pengembang perangkat lunak yang berbasis di London, memberi tahu Apple tentang metode yang dia temukan untuk menyusup ke akun iCloud.

Kekuatan keamanan Apple mendapat kecaman awal bulan ini setelah ratusan foto telanjang selebriti, yang diduga dicuri dari server iCloud, membanjiri Internet. Sementara Balic yang mengeksploitasi mengatakan dia melaporkan ke Apple memiliki kemiripan yang mencolok dengan eksploitasi yang diduga digunakan dalam apa yang disebut peretasan 'Celebgate', saat ini tidak jelas apakah mereka memiliki kerentanan yang sama.



Dalam email tanggal 26 Maret, Balic memberi tahu seorang pejabat Apple bahwa dia berhasil melewati fitur keamanan yang dirancang untuk mencegah & ldquo; brute-force & rdquo; serangan — metode yang digunakan oleh peretas untuk memecahkan sandi dengan mencoba ribuan kombinasi tombol secara menyeluruh. Biasanya, jenis serangan ini dikalahkan dengan membatasi berapa kali pengguna dapat mencoba masuk.

Balic selanjutnya menjelaskan kepada Apple bahwa dia dapat mencoba lebih dari 20.000 kombinasi kata sandi di akun mana pun. & ldquo; Saya ingin memberitahu Anda untuk memperbaikinya, & rdquo; dia menulis. ( Catatan editor: Email Balic ditulis dalam bahasa Inggris, yang bukan bahasa pertamanya. )

Pelanggaran Apple iCloud 4

klik untuk memperbesar



Kerentanan juga dilaporkan oleh Balic menggunakan platform pengiriman bug online Apple, seperti yang terlihat pada tangkapan layar berikut:

Pelanggaran Apple iCloud 3



klik untuk memperbesar

Dalam email tertanggal 6 Mei 2014, kerentanan yang dilaporkan tampaknya tetap tidak diperbaiki, karena seorang pejabat Apple terus menanyai Balic tentang detail penemuannya.

& ldquo; Saya yakin masalah ini tidak terselesaikan sepenuhnya. Mereka terus meminta saya untuk menunjukkan lebih banyak hal kepada mereka, & rdquo; Balic memberi tahu Daily Dot.

Pelanggaran Apple iCloud 2



klik untuk memperbesar

Lubang keamanan di layanan penyimpanan cloud Apple awalnya disalahkan atas peretasan Celebgate. Sebuah skrip berbahaya dilaporkan telah diunggah ke situs web tersebut GitHub akhir bulan lalu, menurut Web Berikutnya, yang mungkin telah digunakan oleh peretas untuk menyusupi akun iCloud:

& ldquo; Kerentanan yang diduga ditemukan di Temukan iPhone Saya layanan tampaknya telah memungkinkan penyerang menggunakan metode ini untuk menebak sandi berulang kali tanpa adanya penguncian atau peringatan apa pun ke target. Setelah kata sandi akhirnya cocok, penyerang kemudian dapat menggunakannya untuk mengakses fungsi iCloud lainnya dengan bebas. & Rdquo;

Segera setelah foto Celebgate meledak di seluruh Web, Apple dilaporkan menambal kerentanan yang diidentifikasi di pos GitHub. Perusahaan membantah, bagaimanapun, bahwa itu terkait dengan acara Celebgate. Pencurian foto, a pernyataan dari perusahaan bersikukuh, bukanlah hasil dari & ldquo; pelanggaran apa pun di sistem Apple mana pun termasuk iCloud atau Temukan iPhone saya. & rdquo;

Apple juga memperluas penggunaan verifikasi dua langkah untuk lebih melindungi akun iCloud. Pengguna harus memilih untuk menerapkan keamanan tambahan, yang mengharuskan mereka memasukkan kode empat digit yang dikirim melalui pesan teks setiap kali mereka masuk.

Foto-foto selebriti yang dicuri, kemungkinan diperoleh sebelum Apple meningkatkan keamanannya, terus tampil online . Pada hari Sabtu, foto telanjang yang diduga dari Jennifer Lawrence, Kim Kardashian, dan lainnya diposting di situs web 4chan. FBI masih menyelidiki peretasan tersebut, menurut baru-baru ini pernyataan dari lembaga penegak hukum.

Serangan iCloud brute force Balic bukanlah laporan kerentanan pertamanya ke Apple. Pada Juni 2013, dia mengidentifikasi kelemahan keamanan di Pusat Pengembang Apple. Menurut Balic, situs tersebut hampir segera ditutup, tetapi dia mengatakan laporannya tidak mendapat tanggapan dari perusahaan. Di sebuah jumpa pers dikeluarkan beberapa hari kemudian, Apple menggambarkan & ldquo; ancaman keamanan & rdquo; dan mengklaim bahwa & ldquo; penyusup berusaha mengamankan informasi pribadi [pengembang terdaftar.] & rdquo;

Tidak senang dengan cara Apple menangani laporannya dan prihatin bahwa penegak hukum menyelidiki tuduhan mereka, Balic mengumumkan kepada publik dalam bentuk komentar di artikel TechCrunch. Dia kemudian mengunggah YouTube video , yang katanya berisi bukti penemuannya.

Apple kemudian mengakui Balic karena melaporkan kerentanan skrip lintas situs (XSS) di dalamnya Halaman pemberitahuan Server Web .

Email pelanggaran Apple iCloud


Awal bulan ini, CEO Apple Tim Cook mengatakan perusahaannya seharusnya berbuat lebih banyak untuk memperingatkan pelanggannya tentang masalah keamanan.

& ldquo; Ketika saya mundur dari skenario mengerikan yang terjadi dan mengatakan apa lagi yang bisa kami lakukan, saya berpikir tentang bagian kesadaran, & rdquo; dia mengatakan kepada Wall Street Journal . & ldquo; Saya pikir kita memiliki tanggung jawab untuk memperbaikinya. Itu sebenarnya bukan masalah teknik. & Rdquo;

Balic setuju. & ldquo; Jika Apple menangani masalah ini dengan lebih serius, mungkin masalah seperti itu tidak akan muncul, & rdquo; dia berkata.

Apple tidak menanggapi beberapa permintaan komentar.

Ilustrasi oleh Jason Reed