Appleのブルートフォースアタック(総当たり攻撃)対策を回避し、iCloudアカウントで使用されているApple IDにブルートフォースアタックをかけるツール「iDict」が正月早々公開されましたが、Appleは直ちにこのツールが使用している脆弱性を修正したそうです。詳細は以下から。
1月2日@Pr0x13によってにGitHubに公開されたiDictは「Appleのブルートフォースアタック対策を迂回できる」として話題になり、TwitterやYouTube、Hacker Newsで動作報告や成功報告がされる様になっていましたが、Appleは早急にパッチを適用したそうです。
I have tried this script on my own account to see what it looks like when it succeeds and all of that. While it does appear to succeed and not be rate limited. The outcome is that the account will have been disabled as a result running the script. Even if it succeeded and found the password it would be no good to the attacker anymore.
[iCloud Apple ID Brute Forcer – Hacker News]
9to5macや@Pr0x13本人のツイートによると「Appleは既にこの脆弱性に対しパッチを適用し、iDictを使用したブルートフォースアタックをブロックし、アカウントをロックしている」とのことです。(iDictもアップデートしアカウントロック表示機能も追加されているそうです)
iDict now correctly reports Locked Accounts, Credits to @p0sixninja for the patch. http://t.co/Luk7ogV2yC
iDict is patched, Discontinue it’s use if you don’t want to lock your account #TheMoreYouKnow
We are now receiving reports that the vulnerability has been patched. People trying to use the tool are apparently now being correctly locked out from repeated password attempts.
[New password-hacking tool for iCloud – 9to5Mac]
また、この脆弱性を発見しiDictを公開した@Pr0x13さん本人はiCloudに飽きて他のプロジェクトへ移行しているそうです。
Moving on to different projects. bored with iCloud, i have a conscious,Don’t have alot of free time, i’m not releasing anything else iCloud.
関連リンク:
・Appleのブルートフォースアタック対策を迂回しiCloudのApple IDをハッキングできるとされるツール「iDict」がGitHubで公開される。
コメント