Dwuetapowy proces uwierzytelniania Apple ma na celu zwiększenie bezpieczeństwa Twojego Apple ID. Podczas próby zresetowania hasła lub dokonania innego rodzaju zmian na koncie na Twoje urządzenie z systemem iOS wysyłany jest osobny kod weryfikacyjny. Ten kod jest następnie używany do sprawdzenia, czy jesteś tym, za kogo się podajesz, zanim będziesz mógł wprowadzić jakiekolwiek zmiany.
Wiele dużych firm technologicznych od dłuższego czasu oferuje uwierzytelnianie dwuetapowe i Proces Apple ma dopiero kilka miesięcy.
Teraz, gdy badacze bezpieczeństwa mieli czas, aby przekopać się przez dwuetapową implementację Apple, pojawiły się pewne problemy. Gdy dane logowania do Apple ID z włączonym uwierzytelnianiem dwuetapowym zostaną naruszone, nic nie powstrzyma hakerów przed uzyskaniem dostępu do danych iCloud, takich jak kopie zapasowe urządzeń.
ElcomSoft, firma specjalizująca się w oprogramowaniu do łamania haseł, ma opublikował nowy raport podkreślenie bezpiecznych dziur w dwuetapowym procesie uwierzytelniania Apple:
W obecnej implementacji dwuskładnikowe uwierzytelnianie Apple nie uniemożliwia nikomu przywrócenia kopii zapasowej systemu iOS na nowym (niezaufanym) urządzeniu. Ponadto, i jest to znacznie większy problem, implementacja Apple nie dotyczy kopii zapasowych iCloud, co pozwala każdy, kto zna Apple ID i hasło użytkownika, aby pobrać i uzyskać dostęp do informacji przechowywanych w iCloud. Łatwo to zweryfikować; po prostu zaloguj się na swoje konto iCloud, a będziesz mieć pełne informacje o wszystkim, co tam przechowywane, bez konieczności proszenia o dodatkowe informacje logowania.
W opinii ElcomSoft nie jest to po prostu właściwy sposób na zrobienie tego z punktu widzenia bezpieczeństwa. Usługa iCloud była wykorzystywana w przeszłości i będzie wykorzystywana w przyszłości.
Raport pokazuje, w jaki sposób znajomość danych logowania Apple ID zapewnia pełny dostęp do kopii zapasowych urządzeń przechowywanych w iCloud. ElcomSoft był w stanie pobrać kopię zapasową przy użyciu danych logowania identyfikatora bez kontaktu z uwierzytelnianiem dwuetapowym. Fizyczne urządzenie iOS, z którego pochodzi kopia zapasowa, nie było potrzebne; ElcomSoft po prostu załadował go na nowe urządzenie i przywrócił.
Innym problemem bezpieczeństwa jest to, że Apple wysyła kody weryfikacji dwuetapowej bezpośrednio na ekran blokady urządzenia z systemem iOS, co oznacza, że każdy może uzyskać kod PIN bez odblokowywania urządzenia. Jednak haker musiałby mieć fizyczny dostęp do urządzenia, aby to zadziałało. ElcomSoft sugeruje, aby kod weryfikacyjny nie był wyświetlany na ekranie blokady, aby użytkownik musiał najpierw wprowadzić hasło odblokowujące urządzenie.
„Dla przypomnienia chciałbym powiedzieć, że podejście Apple do wdrażania autoryzacji dwuskładnikowej nie wygląda na gotowy produkt” – powiedział w raporcie Vladimir Katalov z ElcomSoft. „To po prostu nie jest tak bezpieczne, jak można by się spodziewać po tym rozwiązaniu”.
Ważne jest, aby pamiętać, że wspomniany wcześniej włamanie miałby miejsce tylko wtedy, gdyby ofiara była specjalnie ukierunkowane i nigdy nie można mieć 100% gwarancji, że dane przechowywane w Internecie nie będą zagrożone.
Funkcja dwuetapowego uwierzytelniania firmy Apple jest obecnie dostępna w Stanach Zjednoczonych, Wielkiej Brytanii, Australii, Irlandii i Nowej Zelandii. Meksyk, Niemcy Holandia, Rosja, Austria, Brazylia, Belgia, Portugalia, Włochy i Polska. Uwierzytelnianie dwuetapowe można włączyć w ustawieniach „Hasło i zabezpieczenia” Twojego Apple ID w sieci.
Źródło: ElcomSoft
Przez: Ars Technica
Obraz: CNET