Sikkerhedseksperter: Derfor kan fotos stjæles fra iCloud

Illustration: leowolfert/Bigstock
Det er for nemt at slippe forbi Apples sikkerhedsmekanismer medmindre brugerne selv har sørget for at øge sikkerheden, lyder det fra to sikkerhedseksperter.

Apples iCloud er havnet i centrum for sagen om offentliggørelsen af en række berømtheders private fotos, som i løbet af weekenden blev spredt via blandt andet grupper på 4chan og Reddit. Apple har afvist, at der er skulle være tale om et sikkerhedsproblem hos selskabet, men alligevel peger flere sikkerhedseksperter på uhensigtsmæssigheder i Apples opsætning.

Sikkerhedsekspert og iOS-hacker Jonathan Zdiarski opsummerer i et blogindlæg, hvordan hackingen af berømthedernes iCloud-kontoer kan være foregået, hvis teorien om et nu lukket sikkerhedsproblem hos Apple holder stik.

Apple-brugere kan tage backup af indholdet på deres telefoner til iCloud. Ifølge Apple har iCloud ikke været hacket, men der kan have været tale om, at brugernavne og adgangskoder har været kompromitteret.

Nogenlunde samtidig med offentliggørelsen af de private fotos dukkede et script op, døbt iBrute, som kunne omgå de begrænsninger, der skulle forhindre mange hurtigt efter hinanden gentagne forsøg på at gætte en iCloud-adgangskode.

Sikkerhedsekspert Nik Cubrilovic vurderer imidlertid i et blogindlæg, at der ikke er noget i den forudgående debat på diverse diskussionsgrupper, der tyder på, at iBrute har været benyttet til hackingen.

I stedet ser det ud til, at billederne stammer fra grupper af personer, som målrettet forsøger at tiltvinge sig adgang til andres data hos ikke bare Apples iOS, men også Android og Windows Phone. Den typiske fremgangsmåde er målrettet phishing, som skal forsøge at få offeret til at installere et spionprogram.

En anden fremgangsmåde er at udnytte offentligt tilgængelige oplysninger fra eksempelvis Facebook til at få de pågældende cloud-tjenester til at udlevere login-oplysningerne.

Apples opsætning gør det ifølge Nik Cubrilovic muligt at få verificeret en e-mailadresse og derefter afprøve svarene på sikkerhedsspørgsmål. Det ville være mere hensigtsmæssigt, hvis de enkelte trin var samlet ét sted, så eventuelle hackere ikke kunne afprøve ét element af gangen.

Apple giver mulighed for at bruge to-faktor-autentificering, men ifølge Jonathan Zdiarski gælder det ikke for adgangen til backups i iCloud.

Der har sandsynligvis været tale om iCloud-brugere med forholdsvis svage adgangskoder eller svar på sikkerhedsspørgsmål. Derfor kritiserer Nic Cubrilovic også Apples password-politik for ikke at kræve tilstrækkeligt stærke kodeord.

Det er på ingen måde kun berømtheder, der er i skudzonen for de grupper, som står bag denne type hacking. Rådet til brugere af alle typer cloud-backup er derfor, at de bør vælge stærke kodeord og sørge for, at svarene på sikkerhedsspørgsmål er en lang, tilfældig tekststreng.

Desuden bør man benytte en særskilt e-mailadresse med to-faktor-autentificering til nulstilling af adgangskoder for disse tjenester.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Povl H. Pedersen

Det man læser på nettet er, at der er også Android og lackbaeery billeder. Så den dominerende teori i øjeblikket er at det er DropBox der er den skyldige. Men man skal altid pege fingre af Apple.

Dropbox har også 2-faktor, men det er ikke et krav. Rygterne siger også, at der vist ligger nogle dropbox filer sammen med de andre, hvilket styrker mistanken mod DropBox.

Brugerne får den sikkerhed de selv vælger. 2-faktor fungerer ret godt, ihvertfald hvis man ikke har Android spyware der sender SMS'er eller google authenticator seeds videre.

  • 0
  • 4
#2 Deleted User

Den stpre brøler at de såkaldte sikkerhedsspørgsmål ala "hvad hed din første lærer?", "Hvilken skole gik du på?" etc. Spørgsmål der ofte kan findes svar på via nettet.

Det har altid undret mig, at man kan slippe uden om et ellers stærkt kodeord ved at svare på disse enkle spørgsmål.

  • 3
  • 0
#3 Brian Hansen

Der er ingen der tviger dig til at svare korrekt på spørgsmålet :) Jeg vælger altid et spørgsmål der absolut intet har at gøre med svaret. Eller jeg banker hovedet i keyboardet. Uanset hvad så kan begge dele typisk omgås ned et scan af kørekort eller pas, det udleverer de fleste sites password på i nulkommafem..

  • 3
  • 0
#4 Lars Meldgård

Sikkerhedsspørgsmål burde være forbudt. Hvordan kan man seriøst kræve stærke passwords, og så kombinere det med "mors navn" eller hvad ved jeg. På den måde er alle de store firmaer med til at undergrave sikkerheden for den enkelte bruger.

Recover password per email er i mine øjne meget sikrere. Det er trods alt ikke alle der kan lytte med på en emailkorrespondence.

Skandaløst.

  • 2
  • 0
Log ind eller Opret konto for at kommentere