#TheFappening

A közelmúlt legsúlyosabb leakje a 2014. augusztus 31-es #TheFappening.
De hogy csinálták? Egészen biztos, hogy nem az AES-t törték meg, nem az Apple privát kulcsai kerültek ki, s nem is az NSA a hunyó… :-D
Egy feltételezés szerint így történhetett a dolog:

Find My iPhone-ba JSON-nel is be lehet lépni (HTTP 401-et (Unauthorized) dob rossz jelszó esetén, amúgy meg rendesen válaszol, de ez most lényegtelen).

Fogták a 2009-es RockYou jelszó leaket, kiszűrték azokat a jelszavakat, amik megfelelnek az iCloudnak:

  • Have at least one lower case character
  • Have at least one capital letter
  • Have at least one number
  • Not contain multiple (>3) identical consecutive characters
  • Not be the same as the account name
  • Be at least 8 characters
  • Not be a common password
  • Not be used in past year

Egy ilyesmi regex pl. megcsinálja ezt:
^(?=.[a-z])(?=.[A-Z])(?=.[0-9])(?=.{8,})(?:([\w\d?!:;])\1?(?!\1))+$

Aztán egy nagyon egyszerű Python scripttel megpróbáltak belépni Find My iPhone-ra egy kiszivárgott e-mail címmel. Ha pedig megvan az iCloud jelszó, akkor le lehet menteni a kontaktokat, valamint meg lehet nézni a levelezést, ahonnan kiderül a kollégák Apple ID-je, akiknél újra végig lehet pörgetni a dictionary attacket.
Zseniális. :)

A képeket ezután vagy Photo Streamből vagy iCloud Backupból simán ki lehet szedni. (Az utóbbihoz vannak fizetős appok is – én nem próbáltam, illetve nem szívesen írnám be az Apple ID-met nem-Apple appba.)

Ha valóban így történt, akkor az Apple is felelősséggel tartozik – egy ilyen méretű támadást észre kellett volna venniük, illetve már a sok próbálkozást ki kellett volna szűrnie a rendszernek. Ha a példakódtól eltérően a UDID automatikusan változna, valamint minden próbálkozás külön IP-ről érkezne (SOCKS proxy, így TOR-támogatás van a példakódban is), az Apple ID akkor is minden esetben ugyanaz, tehát könnyen szűrhető lett volna.
Hibás ugyanakkor Jennifer Lawrence is, ha olyan jelszava van, amihez elég egy sima szótár, illetve az is botrány, hogy az ilyen high-profile embereknél nincs bekapcsolva a two-factor authentication. (Mondjuk ez jelen esetben valószínűleg nem számított volna, mert valamiért a 2FA nem védi a legfontosabb dolgokat: az iCloud backupot és a Find My iPhone-t.)
Tim Cook as Tony Hayward, as depicted in South Park 14x11.
Az Apple szeptember 1-jén javította ezt a hibát, de ettől valószínűleg nem lett boldogabb mindenki kedvenc tizenkettedik körzeti tribute-ja.
:-(

Update: Belsős kör, sokan vannak, régóta csinálják…
BweHMdmIAAABMcr.png-orig
KZxtcDp

Advertisements