Приветствую Хабравчан!
Думаю, данной темой не многих удивишь — достаточно набрать в поисковике фразу arduino bruteforce и сразу станет понятно, насколько распространен перебор паролей при помощи платформы Arduino. Я же хочу рассказать о том, как это быстро организовать с наименьшим наборов компонентов, без разводки/травления плат и пайки. Сразу оговорюсь, что описанные мною действия носят ознакомительный характер и никому не причинили вреда, ни морального, ни физического… разве что мошенникам.
В этой статье я поделюсь с вами «железным» способом снятия блокировки iCloud с iPad 3G.
Читать полностью »
Компания Apple опубликовала подробности расследования нашумевшего инцидента с кражей персональных снимков с iDevice устройств знаменитостей. По информации специалистов компании, знаменитости пали жертвой т. н. направленных атак, которые связаны с фишинговыми сообщениями. При таком сценарии злоумышленник отправляет специальное электронное письмо на почтовый адрес жертвы и предлагает ей сообщить пароль Apple ID, который затем используется для доступа к аккаунту. Подобные письма могут содержать разнообразные темы для обмана пользователей. Речь идет также о том, что злоумышленники не использовали инструмент типа iBrute для эксплуатации уязвимости в сервисе через API «Найти iPhone» (уязвимость закрыта). iBrute использует перебор возможных комбинаций паролей (brute force). Между тем выясняется, что с безопасностью сервисов у Apple вскрываются новые проблемы.
Компания Apple исправила уязвимость в сервисе iCloud (точнее, в его функции «Найти iPhone»), которая позволяла злоумышленникам проводить атаку типа brute force и подбирать пароль к аккаунту сервиса (т. е. получать пароль Apple ID). Злоумышленникам уже должен был быть известен адрес электронной почты аккаунта, затем они использовали скрипт для эксплуатации уязвимости сервиса и получали доступ к аккаунту. Предположительно, именно этой уязвимостью воспользовались злоумышленники, которые похитили фото знаменитостей и разместили их в открытом доступе.
Ранее исходные тексты инструмента iBrute для проведения этой атаки были размещены на ресурсе GitHub. Таким образом, любой желающий мог воспользоваться этой уязвимостью и провести атаку на сервис (который в нормальной ситуации должен был блокировать доступ к аккаунту пользователя после нескольких неудачных попыток ввода пароля Apple ID). Разумеется, пользователи, которые использовали сложные пароли к своим аккаунтам, наименее всего могли пострадать от этой уязвимости. В описании файла скрипта iBrute на GitHub теперь красуется такой дисклеймер (см. скриншот ниже).
Личные фото некоторых знаменитостей, включая Дженнифер Лоуренс, Кейт Аптон и Ариана Гранде были опубликованы анонимным хакером на сайте 4Chan. Судя по всему, утечки стали возможными благодаря взлому аккаунтов от облачного хранилища Apple iCloud, в которое автоматически копируется информация со всех устройств Apple.
Пока речь не идет о какой-то глобальной уязвимости в сервисе, возможно, девушки стали жертвами целевых атак и каждый аккаунт был скомпрометирован отдельно, а информация накапливалась в течение продолжительного времени.
Пресс-секретарь Дженнифер Лоуренс сделал заявление, подтверждающее, что фотографии являются подлинными:
На прошлой и этой неделе в СМИ неоднократно публиковалась информация о том, что пользователи iPod Touch, iPhone и iPad во многих странах обнаружили свои устройства заблокированными. Злоумышленники использовали базу украденных Apple ID, а также функцию iCloud, которая называется Lost Mode (Режим пропажи). Пока остается непонятным, каким образом злоумышленникам удалось получить логин/пароль от аккаунтов Apple ID и использовалась ли для этого уязвимость в одном из сервисов Apple. Стоит отметить, что при компрометации Apple ID пользователя, злоумышленник получает доступ ко всем сервисам Apple для этого пользователя (в т. ч. iCloud, iTunes, AppStore) и, теоретически, может выполнять над этим аккаунтом необходимые действия (за исключением тех, которые требуют подтверждения секретными вопросами).
Несколько часов назад издание ZDNet опубликовала первый комментарий официальных представителей Apple по этой проблеме:
Apple takes security very seriously and iCloud was not compromised during this incident. Impacted users should change their Apple ID password as soon as possible and avoid using the same user name and password for multiple services. Any users who need additional help can contact AppleCare or visit their local Apple Retail Store.
Компания Apple выпустила серьезное обновление к своей официальной документации по безопасности iOS для ИТ-профессионалов. Оно содержит намного больше информации по безопасности iOS, чем компания когда-либо разглашала общественности ранее, включая расширенное описание Touch ID, защиты данных, безопасности сетей, безопасности приложений и почти всех связанных с безопасностью функций, опций и protective controls. Читать полностью »
Добрый вечер, хабрачитатели!
Перед выходом 8+ в 1: наш новый мессенджер под iOS и Android, мне пришлось проделать кое-какую работу по изучению тех мест, куда мы собирались публиковать пресс-релизы. Одним из таких мест стал Хабр.
Мы задались следующими вопросами:
Начну я, пожалуй, с самого начала. О чем вообще я буду вести рассуждение? О нескольких идиотских правилах использования магазина iTunes Store и некомпетентности некоторых его органов.
Все началось в 2008 году. Сложилось так, что меня зенесло в Австралию. Тогда я только-только познакомился с iPhone (в руки попал iPhone 2G). Тогда ни понятия App Store, ни iTunes и в помине не было. Был простенький себе Installer. Спустя два года, держа в руках iPhone 3GS, я снова оказываюсь в Австралии. В это время только-только презентовали iPhone 4 и на свет появилась iOS 4. Это и стало началом всех моих грядущих проблем.
Apple, наконец, начала предпринимать меры по увеличению безопасности Apple ID и iCloud аккаунтов. Компания представила двухфакторную верификацию, которую необходимо пройти, прежде чем станет возможным изменение персональной информации. Так же, пользователи получать специальный ключ, который будет возможно использовать в качестве последнего шанса на восстановление доступа к аккаунту, если вы забили пароль или потеряли своё устройство.
Читать полностью »
