En anonym hacker, der har udnyttet en iCloud -sikkerhedsfejl, der lader enhver låse en tabt eller stjålet iPhone op, siger, at Apple kontaktede ham om sagen i dag, men han slettede mailen.
"De har bedt mig om at kontakte [dem] så hurtigt som muligt, men hvorfor nu?" hackeren, der går forbi AquaXetine, sagde i en e -mail til Cult of Mac. "Jeg har allerede advaret Apple for et par måneder siden." Cult of Mac bekræftede, at e -mailen faktisk kom fra Apple.
Hacket, som er det første af sin art, omgår iCloud -sikkerhedssystemet til låste iOS -enheder kaldet Activation Lock. Ved at bruge free DoulCi -websted, som syntes at være offline det meste af dagen, men nu er sikkerhedskopieret, kan en låst iOS -enhed narres til at tro, at den taler til Apples iCloud -servere, når den er forbundet til en computer.
Med iPhone -tyveri tegner sig for cirka halvdelen af forbrydelserne i byer som San Francisco og New York presser lovgiverne på lovgivning, der kræver alt
smartphones til at have indbyggede kill switches. Aktiveringslås er Apples svar på problemet, en fejlsikker indført i iOS 7 for at forhindre stjålne iPhones og iPads i at være brugbare. Systemet er designet til at holde indholdet på låste enheder ulæseligt og ikke kan slettes uden brugerens Apple -id.Har lige slettet mailen fra Apple;) De er såååååååååååååååååååååååååååååååååååååååååålige at det er for sent - AquaXetine (@AquaXetine) 21. maj 2014
Hackerne, der er ansvarlige for at omgå iCloud og Activation Lock, kendt af online -pseudonymer AquaXetine og MerrukTechnolog, danne Team DoulCi (nogenlunde "iCloud" baglæns).
Deres udnyttelse, som de betegner som "verdens første iCloud -aktiveringsbypass", indebærer tilføjelse af kun en linje kode til "værter" -filen på en stationær computer. Instruktioner kan findes på værktøjets nye websted, DoulCi. Hollandsk publikation De Telegraaf rapporterede først nyheder om hacket her til morgen.
Sikkerhedsforsker og iOS -hacker Steven De Franco beskrev bypasset som et "mand-i-midten-angreb", hvilket betyder, at det opfanger trafik mellem en enhed og Apples servere. "Det ser ud til, at det er en firmware-relateret fejl," sagde De Franco i et interview med Cult of Mac. "Så det ville kræve en ny opdatering [fra Apple] for at lappe den."
Når hacket bruges, og en iPhone bliver narret forbi Aktiveringslås, bliver SIM -kortet ulæseligt "Fordi de ikke har Apples private nøgler til at fortælle telefonen, om den er låst op eller ej," forklarede De Franco. De to hackere bag DoulCi har sagt, at de har en fix kommer til SIM -blokken problem.
@AquaXetine takketeam… Mere kraft …… fra PH… pic.twitter.com/XR2Mb1OD4B - catac (@c4tac) 21. maj 2014
DoulCi -webstedet siger, at værktøjet "blev bygget med kærlighed til folket for at give dem en anden chance for at komme dertil iDevices igen" og er "kun til personlig brug."
Tweets viser, at tusinder af låste iPhones rundt om i verden er blevet omgået ved hjælp af værktøjet lige i dag. De fleste tweets, der takker de to hackere, kommer fra uden for USA, hvor stjålne iOS -enheder sendes og sælges til en præmie på det sorte marked.
I Filippinerne viste en Twitter -bruger seks iPhones, der var låst op.
@AquaXetine@MerrukTechnolog tnx for denne mere kærlighed fra filippinerne …… LONG LIVE doulCi!!! pic.twitter.com/ZgTxaa0tTT
- esonglance (@esonglance) 21. maj 2014
En anden tilfreds unlocker i Asien tweetede følgende:
Twitter / abraham91612877: @AquaXetinepic.twitter.com/LkhcVlgscqhttp://t.co/sx2k4HssZz - Mscv50 (@Mscv50) 21. maj 2014
Hackerne hævder, at projektet har været en kæmpe succes. Tidligere i dag offentliggjorde de skærmbilleder af serverlogfiler, der påstod, at 5.700 enheder var blevet låst op på bare fem minutter. Senere hævdede de, at yderligere 10.000 enheder var blevet låst op. De to hackere siger, at de arbejdede på udnyttelsen i fem måneder og kontaktede Apple i marts. Apple reagerede ikke på Cult of Macs anmodninger om kommentarer.
Mere end 5700 enheder blev behandlet i dag af #doulCi server om 5 minutter ses vi næste gang med kærlighed til #doulCiTeampic.twitter.com/vJCLlnX0Kg -Maroc-OS (@MerrukTechnolog) 21. maj 2014