24

Bezpieczeństwo iCloud – co i jak można wykraść? Celebryci nie trzymali świadomie nagich zdjęć w telefonach i chmurze

Jak się okazuje, to co można odzyskać z konta iCloud, korzystając z komercyjnego, powszechnie dostępnego oprogramowania, może być dużym zaskoczeniem, zwłaszcza jeżeli zgodnie z filozofią Apple dana osoba korzysta z telefonu, bo po prostu działa i nie zagłębiała się nigdy w tajniki backupu oraz sposoby zabezpieczeń swoich danych. Tym bardziej wątpliwe staje się zrzucanie winy […]

Jak się okazuje, to co można odzyskać z konta iCloud, korzystając z komercyjnego, powszechnie dostępnego oprogramowania, może być dużym zaskoczeniem, zwłaszcza jeżeli zgodnie z filozofią Apple dana osoba korzysta z telefonu, bo po prostu działa i nie zagłębiała się nigdy w tajniki backupu oraz sposoby zabezpieczeń swoich danych. Tym bardziej wątpliwe staje się zrzucanie winy na ofiary za ich lekkomyślność, że trzymały nagie zdjęcia w telefonie czy chmurze. Bardzo możliwe, że większość wykradzionych zdjęć została przez użytkowników dawno wykasowana, a mimo to wypłynęły podczas włamania.

Sean Gallagher z serwisu ArsTechnica postanowił sprawdzić co uda mu się wyciągnąć z telefonów i kont członków jego rodziny (za ich wiedzą i zgodą oczywiście), przy pomocy komercyjnego oprogramowania wykorzystywanego podczas dochodzeń kryminalnych, przez odpowiednie służby. Mowa o produktach Elcomsoftu, między innymi iOS Forensic Toolkit oraz Phone Password Breaker. Warto podkreślić, że Elcomsoft opracował swoje oprogramowanie bazując na inżynierii wstecznej, bez pomocy Apple. Dostępne są również inne tego rodzaju programy, niektóre z darmowymi wersjami próbnymi, że o pirackich wersjach dostępnych w sieci nie wspomnę.

eppb-passrecovery-640x397

Łatwość włamania zależy od celu. Starsze wersje iOS nie sprawiają większego problemu, co innego najnowsza wersja, której w eksperymencie nie udało się złamać, bo nie ma na nią dostępnego jailbreak’a. Inaczej jednak wygląda kwestia iCloud – jeżeli ktoś nie korzysta z bardzo mocnego hasła, lub weryfikacji dwuczynnikowej, na której uaktywnienie trzeba czekać 3 dni, to dobranie się do informacji jest nie aż tak trudne. Wektorów ataku jest naprawdę wiele, włącznie z inżynierią społeczną i phishingiem. Nie będę ich wszystkich omawiał i zainteresowanych odsyłam do pełnego artykułu.

Najistotniejsze jet to, że Gallagherowi udało się dobrać do kopii bezpieczeństwa przechowywanej na iCloud, którą pobrał za pomocą narzędzi Elcomsoftu. Oto co udało mu się z niej wyciągnąć:

  • Historię połączeń, wiadomości tekstowe, wiadomości ze skrzynki głosowej, wraz z numerami dzwoniących i godzinami w których dzwonili, oraz datami kiedy zostały skasowane, sięgające momentu zakupienia telefonu
  • Numery telefonów znajomych z Facebooka, adresy email wraz z treścią
  • Bazę danych kont e-mail, Twittera i kont powiązanych z identyfikatorem Apple, również te, które zostały zlikwidowane jeszcze przed zakupem telefonu
  • Dane o wszystkich hotspotach, z którymi telefon się kiedykolwiek łączył, wraz z nazwami SSID i adresami MAC
  • Zdjęcia ze wszystkich dotychczasowych backup’ów, włącznie z tymi, które zostały dawno temu skasowane. Zdjęcia zawierały pełną informację EXIF, włącznie z koordynatami GPS
  • Wszystkie adresy wyszukiwane w Apple Maps
  • Konta pocztowe powiązane kiedykolwiek z Apple Mail
  • Pełną książkę adresową

eppb-pass-attack-in-prog-640x400

Widać więc wyraźnie, że nagie zdjęcia wcale nie musiały intencjonalnie zostać wrzucone do chmury, czy nawet przetrzymywane na telefonie. Wystarczy, że kiedyś zostały zrobione, a Apple zrobił ich kopie bezpieczeństwa i nigdy nie usunął, mimo, że zrobił to sam użytkownik. Ten kto nigdy nie zrobił głupiej rzeczy, którą później skasował niech pierwszy rzuci kamieniem. Stąd celebrytki twierdzące, że zdjęcia, które wypłynęły zostały dawno skasowane, według wszelkiego prawdopodobieństwa mówiły prawdę.

To jeszcze nie koniec. Haker-włamywacz nie tylko może odtworzyć telefon ofiary jeden do jednego, przywracając skradziony backup, ale również ma możliwość śledzenia jej położenia w czasie rzeczywistym, korzystając z funkcji Find My iPhone.

Sądzę więc, że łatwo jest krytykować znane osoby, mówiąc, że są próżne i wszędzie świecą gołym tyłkiem. Trzeba jednak pamiętać, że znane osoby są znacznie bardziej narażone na atak, niż anonimowy Kowalski, a każdy z nas zaśpiewałby inaczej, gdyby tyle danych na jego temat wyciekło, nawet gdyby pozbawione były pikantnych obrazków. Wreszcie nie każdy jest specjalistą od bezpieczeństwa. Ile macie znajomych, którzy nie zdają sobie sprawy, co znajduje się w ich backupie iCloud?

EIFT-640x348

Jak się bronić? To żadna tajemnica. Gdy mamy do czynienia z tak obszernym zbiorem wrażliwych danych, trzeba je odpowiednio zabezpieczyć. Włączyć weryfikację dwuetapową, korzystać z długiego i złożonego hasła, lub wręcz wyłączyć opcję automatycznej kopii zapasowej. Badania jasno pokazują, że albo wygoda, albo bezpieczeństwo – jedno i drugie nie idzie w parze. Głównym pocieszeniem jest fakt, że mało prawdopodobne aby typowa, „szara osoba” stała się celem ataku o dużym rozmachu.

Szkoda, że podczas ostatniej premiery Apple nie poruszył kwestii bezpieczeństwa. Trzeba również pamiętać, że inne telefony i kopie bezpieczeństwa są również podatne na atak, chociaż w przypadku Apple to już druga głośna historia tego typu. Pierwsza sprowokowała Apple do uruchomienia funkcji weryfikacji dwuetapowej.