220 mila account iCloud hackerati: iPhone e iPad jailbroken a rischio

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/apple/2...hio_58561.html

Il servizio in cloud di Apple è ancora una volta stato sfruttato per ottenere le informazioni sensibili dei suoi utenti. iPhone e iPad sono a rischio, ma solo se si è applicato il jailbreak

Click sul link per visualizzare la notizia.

[zappatoreconlazappa]

Quote:

Non è la prima volta che iCloud, il servizio online in cui iPhone e iPad conservano di default parecchie informazioni sensibili, è vittima di hacker. È sicuramente rimasto nelle memorie di molti lo storico celeb-gate, il caso che aveva messo a nudo (in tutti i sensi) Jennifer Lawrence e molti altri personaggi noti di tutto il mondo. Anche in quel caso non erano state le infrastrutture di Apple ad essere state violate, con l'hack avvenuto sfruttando soprattutto la sbadataggine degli utenti coinvolti.

come sempre nino difende la apple dalla verità :P
in quel caso c'era un bug sul sistema di autentificazione di icloud e permetteva l'attacco brute force per trovare una password
ma per nino è colpa degli utenti se la apple sbaglia ))

[benderchetioffender]

ma sopratutto: quali repo? hanno un nome i mascalzoni? chiaro che tutti i repo son rischiosi, ma se son saltati 200k account, sarebbe il caso di sapere QUALI repo sono velenosi.. ecchecacchio!

[FirePrince]

Un attacco brute force difficilmente ha successo se la password non consiste in pochi caratteri (o magari sei numeri, come una data di nascita!); in quell'occasione la colpa fu degli utenti che scelsero password ridicole...

[Alfhw]

Quote:

Originariamente inviato da zappatoreconlazappa

come sempre nino difende la apple dalla verità :P
in quel caso c'era un bug sul sistema di autentificazione di icloud e permetteva l'attacco brute force per trovare una password
ma per nino è colpa degli utenti se la apple sbaglia ))

Certo che è colpa degli utenti! Impugnavano l'iPhone con la mano sbagliata mentre accedevano ad iCloud!

[lobotom173]

Quote:

Originariamente inviato da FirePrince

Un attacco brute force difficilmente ha successo se la password non consiste in pochi caratteri (o magari sei numeri, come una data di nascita!); in quell'occasione la colpa fu degli utenti che scelsero password ridicole...

Quote:

Originariamente inviato da Alfhw

Certo che è colpa degli utenti! Impugnavano l'iPhone con la mano sbagliata mentre accedevano ad iCloud!

Fuori di dubbio che la colpa della scelta di una password idiota spetta a chi la imposta dall' altra parte contando che a livello di diffusione iOS non è certo di nicchia Apple avrebbe dovuto implementare fin da subito un sistema in 2 step magari evitando che si potessero fare attacchi bruteforce (limitando quindi il numero dei tentativi e avvisando via email dei tentativi non andati a buon fine).

Molti servizi al momento dell' attacco avevano già sistemi più sicuri, Dropbox e LogMeIn per citarne 2.

Con un AppleiD oltre a poter spendere i soldi della carta di credito puoi bloccare terminali e ripristinare backup completi clonando di fatto qualsiasi dispositivo con tutto il suo contenuto, foto, email, account, calendari, rubrica ecc..ecc.. non è robetta

[Alfhw]

Quote:

Originariamente inviato da FirePrince

Un attacco brute force difficilmente ha successo se la password non consiste in pochi caratteri (o magari sei numeri, come una data di nascita!); in quell'occasione la colpa fu degli utenti che scelsero password ridicole...

A parte le battute se non ricordo male c'era un bug o mancanza in iCloud che permetteva di provare infinite password su un account invece di bloccarlo dopo pochi tentativi falliti. Inoltre iCloud ha solo una cifratura server-side. Se avesse una cifratura client-side (tipo Wuala e pochi altri) la violazione dell'account sarebbe inutile perché avrebbero accesso solo a dati illeggibili.

[klept]

FAPPENING 2K15 INCOMING!

[AlexSwitch]

Quote:

Originariamente inviato da zappatoreconlazappa

come sempre nino difende la apple dalla verità :P
in quel caso c'era un bug sul sistema di autentificazione di icloud e permetteva l'attacco brute force per trovare una password
ma per nino è colpa degli utenti se la apple sbaglia ))

La colpa è degli utenti che usano password ridicole come " 12345 " o " Cindy123 "... Puoi avere il sistema di sicurezza migliore del mondo, ma se la tua chiave non vale nulla ci sarà sempre una porta spalancata....

[AlexSwitch]

Quote:

Originariamente inviato da lobotom173

Fuori di dubbio che la colpa della scelta di una password idiota spetta a chi la imposta dall' altra parte contando che a livello di diffusione iOS non è certo di nicchia Apple avrebbe dovuto implementare fin da subito un sistema in 2 step magari evitando che si potessero fare attacchi bruteforce (limitando quindi il numero dei tentativi e avvisando via email dei tentativi non andati a buon fine).

Molti servizi al momento dell' attacco avevano già sistemi più sicuri, Dropbox e LogMeIn per citarne 2.

Con un AppleiD oltre a poter spendere i soldi della carta di credito puoi bloccare terminali e ripristinare backup completi clonando di fatto qualsiasi dispositivo con tutto il suo contenuto, foto, email, account, calendari, rubrica ecc..ecc.. non è robetta

Ma proprio no.... L' Apple ID è legato univocamente ai dispositivi a cui è registrato tramite codice di serie di questi... Se si accede ad uno di questi, o viene collegato a macchine non registrate, si viene subito informati e se non si da esplicitamente il consenso che sia un accesso sicuro, l'ID viene momentaneamente disattivato da Apple.... E' capitato a me il mese scorso... ho collegato mio iPhone ad un Mac diverso dai miei soliti solo per ricaricarlo ed ho ignorato l'avviso di autorizzazione... Dopo pochi minuti Apple mi ha mandato una mail in cui mi informava che il Apple ID era stato bloccato con un link per la procedura di sblocco.

[zappatoreconlazappa]

Quote:

Originariamente inviato da AlexSwitch

La colpa è degli utenti che usano password ridicole come " 12345 " o " Cindy123 "... Puoi avere il sistema di sicurezza migliore del mondo, ma se la tua chiave non vale nulla ci sarà sempre una porta spalancata....

anche se usi password stupide però il sistema ti deve bloccare dopo 3 tentativi sbagliati e non lasciarti fare un attacco a dizionario
per quelli che parlano della complessità della password : una password alfanumerica da 8 caratteri è molto meno sicura di una password da 12-16 lettere semplici tipo "ciaocomevali"
quindi anche mettere il nome del proprio cane scritto 2 o 3 volte è sicuro più di :sdSDF13

[hwutente]

Quote:

Originariamente inviato da zappatoreconlazappa

per quelli che parlano della complessità della password : una password alfanumerica da 8 caratteri è molto meno sicura di una password da 12-16 lettere semplici tipo "ciaocomevali"
quindi anche mettere il nome del proprio cane scritto 2 o 3 volte è sicuro più di :sdSDF13

Perche'?

[joe79]

Quote:

Originariamente inviato da zappatoreconlazappa

anche se usi password stupide però il sistema ti deve bloccare dopo 3 tentativi sbagliati e non lasciarti fare un attacco a dizionario

esattamente

[Syk]

Quote:

Originariamente inviato da AlexSwitch

La colpa è degli utenti che usano password ridicole come " 12345 " o " Cindy123 "... Puoi avere il sistema di sicurezza migliore del mondo, ma se la tua chiave non vale nulla ci sarà sempre una porta spalancata....

Quote:

Originariamente inviato da lobotom173

Fuori di dubbio che la colpa della scelta di una password idiota

se avessero bucato solo l'account di Jennifer Lawrence si sarebbe potuto affermare una cosa del genere, mentre con qualche centinaio di persone coinvolte in quella falla, la certezza è che la mela sia bacata.
senza contare chi se ne era accorto in anticipo di qualche mese e l' apple ha negato.

[gd350turbo]

L'importante è che la gente continui a salvare le proprie foto zozze su icloud, così anche il resto del mondo, può apprezzarle !

[*aLe]

Quote:

Originariamente inviato da Alfhw

Certo che è colpa degli utenti! Impugnavano l'iPhone con la mano sbagliata mentre accedevano ad iCloud!

Eh no. Se l'avessero impugnato con la mano sbagliata non avrebbe avuto campo, quindi non avrebbe trasmesso i dati, e loro si sarebbero salvati.


A parte gli scherzi. Se, come scritto nell'articolo, è stata un'app proveniente da Cydia, Apple non è che ne abbia tanta colpa.
Uno dovrebbe sapere che corre dei rischi se installa a cuor leggero qualsiasi cosa ci sia su Cydia (come corre dei rischi chi su PC installa giochi e programmi crackati come se non ci fosse un domani, non tutti sono puliti).

Se invece le password sono state ottenute tramite brute force, Apple è di fronte a un problema.
È vero che tanti utenti hanno password talmente facili da essere prevedibili in 2-3 tentativi (parlo di gente che conosco eh), ma mi aspetto che un attacco brute force conduca al blocco dell'account dopo N tentativi errati.
Come mai non è successo?

Se invece hanno davvero bucato i server di Apple, beh, allora è un problema ancora più grosso.

[GM Phobos]

Da quanto mi pare di aver letto nell'articolo, il problema è presente non a livello di infrastruttura ma a livello di client compromesso..

io posso avere tutte le sicurezze che voglio ma se installo sul mio dispositivo client un keylogger... non c'è sicurezza che tenga...

la discussione qui sotto mi pare molto orientata invece verso il "dare la colpa ad apple" tanto per...

magari sbaglierò ma mi sembra che quando c'è da puntare il dito contro apple la gente faccia a gara anche quando magari pare evidente la sua estraneità o_O
Oh, poi magari sono io che sono poco obiettivo.

[zappatoreconlazappa]

Quote:

Originariamente inviato da hwutente

Perche'?

in parole povere perché è più lunga e la difficoltà nella decodifica dipende dalla lunghezza della password

qua c'è un meme che lo spiega in maniera semplice : https://xkcd.com/936/

[lobotom173]

Quote:

Originariamente inviato da AlexSwitch

Ma proprio no.... L' Apple ID è legato univocamente ai dispositivi a cui è registrato tramite codice di serie di questi... Se si accede ad uno di questi, o viene collegato a macchine non registrate, si viene subito informati e se non si da esplicitamente il consenso che sia un accesso sicuro, l'ID viene momentaneamente disattivato da Apple.... E' capitato a me il mese scorso... ho collegato mio iPhone ad un Mac diverso dai miei soliti solo per ricaricarlo ed ho ignorato l'avviso di autorizzazione... Dopo pochi minuti Apple mi ha mandato una mail in cui mi informava che il Apple ID era stato bloccato con un link per la procedura di sblocco.

Non vorrei sbagliarmi (l' ultima volta che l' ho fatto era a novembre dello scorso anno passando all' AIR2) ma su un nuovo terminale puoi ripristinare un backup icloud grazie all' Apple ID, ti arriva semplicemente una mail di avviso che il tuo Apple ID è stato utilizzato per un nuovo/diverso/aggiuntivo terminale ma il backup non è bloccato fino ad autorizzazione su altra macchina.

Puoi bloccarlo ma devi essere tempestivo, non è bloccato di default.

Lo stesso dicasi per l' accesso ad iCloud online (fatto adesso sul server che ha un suo AppleID) accedi da una macchina "nuova" e ti arriva una mail ma di fatto io sto sbirciando dentro ad iCloud (con foto rubrica pages numbers ecc.)

[Sergio.F]

Quote:

Originariamente inviato da gd350turbo

L'importante è che la gente continui a salvare le proprie foto zozze su icloud, così anche il resto del mondo, può apprezzarle !

Bhe...Indubbiamente bisogna avere proprio una gran fame per m.....sturbarsi con foto del genere.
Io non ho di questi problemi, ho una compagna che me la molla abbondantemente ed è certamente più figa di gente che si fa fotografare piena di liquido seminale per la gioia dei tuoi occhi...