「iPhoneを探す」機能の脆弱性を利用したBrute Force Password Cracking手法がiCloudハッキング騒動の2日前に公開されていたもよう。

シェアする

スポンサーリンク

 9to5MacによるとiPhoneを探すの脆弱性を利用したBrute Force Password Cracking方法が公開されているそうです。詳細は以下から。

 9to5Macによると、この方法は2日前に@hackappcomによってGithubに掲載され、昨日アメリカの有名人のiCloudがハッキングされ有名人の多数の写真が流出した原因になったのではないかと伝えられています。


hackappcom-ibrute
[hackappcom/ibrute – GitHub]


 このBrute Force Password Cracking手法はFind My iPhone(iPhoneを探す)APIを使用し、アタッカーはパスワードを何度間違えても警告なしにパスワードを入力可能で、最終的にパスワードが一致すればiCloudの機能を自由に使用できる様になるそうです。


iPhoneを探す-Brute-Force-Attack

The vulnerability allegedly discovered in the Find my iPhone service appears to have allowed attackers to use this method to guess passwords repeatedly without any sort of lockout or alert to the target. Once the password has been eventually matched, the attacker can then use it to access other iCloud functions freely.

 @hackappcom曰く「@DefconRussiaによって発見されたこの手法は(私は)証拠を見ていませんが、誰か使用してみてください」として投稿し、複数の匿名ユーザーからの成功報告を受けているようです。

 発見されたのが8月末(30日にはデモがされているようです)で、有名人のiCloudがハッキングされ、4chanに写真が投稿されたのが8月31日 7時頃となっているので、この手法が使われた可能性もありますが、Appleは既にこの脆弱性にパッチを当てているようです。

おまけ

 ibruteの詳しい資料だそうです。



関連リンク:
Vulnerability in Find My Phone service and weak passwords may explain alleged celebrity photo leaks – 9to5mac

AppleID password bruteforce proof-of-concept – Hacker News

This could be the Apple iCloud flaw that led to celebrity photos being leaked – TNW


コメント

  1. Apple7743 より:

    WoW!

  2. Apple7743 より:

    ケイトアプトンのおっぱい

  3. Apple7743 より:

    ハック後に変更されたらメール通知で解るけどこれだと気づけ無いな
    長いパスワードにするって言う伝統的な対策しかなさそうだね