9to5MacによるとiPhoneを探すの脆弱性を利用したBrute Force Password Cracking方法が公開されているそうです。詳細は以下から。
9to5Macによると、この方法は2日前に@hackappcomによってGithubに掲載され、昨日アメリカの有名人のiCloudがハッキングされ有名人の多数の写真が流出した原因になったのではないかと伝えられています。
[hackappcom/ibrute - GitHub]
このBrute Force Password Cracking手法はFind My iPhone(iPhoneを探す)APIを使用し、アタッカーはパスワードを何度間違えても警告なしにパスワードを入力可能で、最終的にパスワードが一致すればiCloudの機能を自由に使用できる様になるそうです。
The vulnerability allegedly discovered in the Find my iPhone service appears to have allowed attackers to use this method to guess passwords repeatedly without any sort of lockout or alert to the target. Once the password has been eventually matched, the attacker can then use it to access other iCloud functions freely.
@hackappcom曰く「@DefconRussiaによって発見されたこの手法は(私は)証拠を見ていませんが、誰か使用してみてください」として投稿し、複数の匿名ユーザーからの成功報告を受けているようです。
HackApp@hackappcom
#hackapp @DefconRussia AppleID bruteforce tool via FindMyIphone bug. Doesn't lock AppleID. https://t.co/9dG3EjtrLS
2014/08/31 00:47:08
Owen Williams@ow
This could be the Apple iCloud flat that led to celebrity photos being leaked
2014/09/01 20:06:25
- http://t.co/nWK5Os1A7M http://t.co/ZKyNakgFOA
The end of fun, Apple have just patched FindMyIphone bug. So ibrute is not applicable any more.
2014/09/01 19:10:08
@JFran_cbit @iCloud it's because you was lucky to find password in 20 allowed tries
2014/09/01 22:50:27
発見されたのが8月末(30日にはデモがされているようです)で、有名人のiCloudがハッキングされ、4chanに写真が投稿されたのが8月31日 7時頃となっているので、この手法が使われた可能性もありますが、Appleは既にこの脆弱性にパッチを当てているようです。
おまけ
ibruteの詳しい資料だそうです。
関連リンク:
・Vulnerability in Find My Phone service and weak passwords may explain alleged celebrity photo leaks - 9to5mac
・AppleID password bruteforce proof-of-concept - Hacker News
・This could be the Apple iCloud flaw that led to celebrity photos being leaked - TNW
コメント一覧
>>1.-
Apple7743
-
2014年09月02日 07:29 ID:vz8E9KT.0 このコメントに返信
-
WoW!
コメントを書き込む