(cache) iCloud ハッカーたちが悪用した、シンプルな 4-Steps 侵入プロセスとは？

iCloud ハッカーたちが悪用した、シンプルな 4-Steps 侵入プロセスとは？

Posted in .Selected, Apple, Privacy, Security by Agile Cat on September 7, 2014

Here’s The Incredibly Simple Trick Hackers Use To Get Into Your Apple iCloud Account
http://wp.me/pwo1E-7Ph
James Cook – Sep. 3, 2014
http://www.businessinsider.com/how-hackers-get-into-your-apple-icloud-account-2014-9

iCloud hackers have known for years of an easy way to identify the email address behind an iCloud account. Finding an email address may not sound particularly valuable, but once iCloud hackers know the email address behind an account, they’re one step away from gaining full access to the account and raiding its photo backups.

iCloud ハッカーたちは、iCloud アカウントに隠された、電子メール･アドレスを識別するための簡単な方法を、何年も前から知っている。電子メール･アドレスを見つけ出すことに、とりわけ価値があるとは思えない。しかし iCloud ハッカーが、アカウントに結び付けられたメール･アドレスを知ってしまえば、対象となるアカウントのフル･アクセスを取得し、そこにストアされたフォト･バックアップを襲撃する、一歩手前まで進んでしまうのだ。

When iCloud hackers find a target, they set about attempting to discover the login information for their iCloud account. The first step is identifying the email address used. Often, hackers will be aware of several email addresses purported to be used by the target. This is where Apple makes it easy for budding nude photo hackers. Apple allows users to test unlimited amounts of emails incredibly quickly.

iCloud ハッカーがターゲットに目をつけると、彼らはターゲットの iCloud アカウント･ログイン情報を探し始める。最初のステップは、そこで使用される電子メール･アドレスの識別である。そして多くのケースにおいてハッカーたちは、ターゲットが使用していると推察される、いくつかの電子メール･アドレスを認識することになる。それこそが、ヌード写真ハッカーを、Apple が出没させてしまった元凶である。Apple は、信じられないほど迅速に答えを返す、この電子メール･テストという行為を、回数を制限することもなく、ユーザーたちに開放しているのである。

Hackers explained on pornography forum AnonIB how they use Apple’s "Create Account" page to check through masses of possible email addresses. All hackers need to do is enter a potential email address into the email field, and Apple instantly displays whether it’s connected to an iCloud account. They don’t need to submit any forms, and Apple doesn’t limit the amount of tries you have to enter an email address.

ハッカーたちが AnonIB の Pornography Forum で説明していたのは、Apple の "Create Account” ページの使い方であり、また、使われている可能性のある、大量のメール･アドレスをチェックする方式である。そこでハッカーたちが要求される、すべての必要なことは、可能性のあるメール･アドレスを、メール･フィールドに書き込むことだけである。そうすると Apple は、それが iCloud アカウントに結びついているのかどうかを、即座に表示してくれる。ハッカーたちは、何のフォームも提出する必要はなく、また Apple は、そこでメール･アドレスを入力する回数を、まったく制限していない。

1: Apple instantly tells users whether an email address is linked to an iCloud account

Apple はユーザーに対して、入力されたメール･アドレスが、iCloud アカウントに結びついているのかどうかを、即座に答えてくれる。

Apple

2: A red circle next to "Be available" means that an email address is tied to an iCloud account

赤く表示される ◯ と "Be available” は、あるメール･アドレスと、ある iCloud カウントが、結びついていることを示す。

Apple

As an anonymous AnonIB iCloud hacker explains:

AnonIB の匿名 iCloud ハッカーによる説明：

"When you type it in, it will show 3 things, one being that it is a valid email, one being that it’s not currently in use, and a third thing I can’t currently remember. Who cares lol. If it shows a green dot next to ‘currently in use,’ that means it’s not being used. If you get a red dot, you’re golden, that means it IS being used.”

「それを入力すると、3つのものが表示される。最初は、それが有効なメール･アドレスであることを示す。二番目は、現在は使われていないことを示す。三番目は、思い出すことができないものを示す。誰だって大笑いさ。 Currently In Use の隣に、緑のドットが表示されるなら、いまは使われていないという意味だ。そして、赤のドットが出てくれば、大当たりだ！つまり、使用中のメール･アドレスという意味なのさ」

Hackers keep trying possible emails until they get a red dot, indicating that the email address is tied to an iCloud account. From there, they either attempt to crack the password or begin the process of guessing the details used to protect the account.

ハッカーたちは、狙いをつけたメール･アドレスに赤のドットが灯るまで、つまり、iCloud アカウントに結び付けられたメール･アドレスが見つかるまで、何回でも試すことができる。それに成功すれは、彼らはパスワードの解読もしくは、アカウント保護のための情報を推測するための、プロセスへと入っていく。

3: The first test is to enter the target’s date of birth. This will be easy to find for a celebrity

最初のテストは、ターゲットの誕生日の入力である。誰もが推測するとおり、セレブたちの誕生日は知れ渡っている。

Apple

4: The final step is to answer the security questions. For celebrities, the information will often be readily available online.

最後のステップは、セキュリティのための Q/A である。これに関しても、セレブたちの秘密はオンラインにあふれている。

Apple

Apple has previously moved to clamp down on methods that can be used to attempt to discover login data en masse. On Monday, Apple patched an exploit discovered by a Russian security researcher that allowed hackers to use the Find My iPhone app to test thousands of potential passwords for an account.

以前から Apple は、ログイン･データの大量取得に、悪用されかねない方法を取り締まってきた。そして、この月曜日に Apple は、ロシアのリサーチャーが発見したセキュリティ･ホールにパッチを当てた。それは、対象となるアカウントのパスワードを探し出すために、ハッカーたちが Find My iPhone アプリを、繰り返して何度でも使えるというものだ。

However, Apple has yet to modify its sign-up process or iForgot system to deter hackers from gaining access to iCloud accounts. The techniques openly discussed by iCloud hackers on public forums such as AnonIB remain open to use.

しかし Apple は、iCloud の Sign-Up プロセスおよび、iForgot システムを改善せず、また、iCloud アカウントにアクセスするハッカーたちを阻止していない。AnonIB などのパブリック･フォーラムで、iCloud ハッカーたちが公に解説していることで、ハッキングの手法がオープンになっているのだ。

ーーーーー

この事件が報道されたとき、ちょうど2年前に起こった、「あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題」を思い出しました。そのときの問題点はーーー判明した事実はと言えば、請求先住所とカード番号の下4桁という2つの情報だけで、他人が自分の iCloud アカウントに侵入できてしまうということだ。一度情報が提供されれば、アップルは仮パスワードを発行し、iCloud にアクセスすることができる。・・・＜中略＞・・・そして Amazon.com にアクセスし、新しいメールアドレスのパスワードを再設定する。これでアカウントのファイルにあるクレジットカードを見ることができる。もっとも番号のすべてではなく下4桁だけだが……。しかし繰り返すが、アップルが必要としているのはこの 4桁だけなのだ。われわれは、セキュリティポリシーについて Amazon にコメントを依頼したが、締切時間までに回答はなかった。ーーーというものでした。セキュリティに完全はありませんが、もう少し安心して使える iCloud になってほしいです。