Naga prawda o bezpieczeństwie iCloud
Zdjęcie: Jim Merithew/Cult of Mac
Do tej pory prawdopodobnie słyszałeś o lawinie nagich zdjęć celebrytów, która uderzyła w sieć w Święto Pracy. Ale pośród chaosu śledztw FBI, zaprzeczania przez celebrytów i publikacji Apple PR, które w zasadzie nic nie mówią, zrozumienie, w jaki sposób napastnicy dokonali włamania — i jak temu zapobiec — nie było takie jasne.
Apple poleciło wszystkim użytkownikom włącz weryfikację dwuetapową „w celu ochrony przed tego typu atakami”, ale prawda o dwuetapowym zabezpieczeniu iCloud jest nieco bardziej skomplikowana niż Apple wpuściło i włączenie go prawdopodobnie nie zapobiegłoby zhakowaniu zdjęć celebrytów w pierwszym miejsce.
Aby pomóc uporządkować zagmatwany bałagan, podzieliliśmy wszystko, co musisz wiedzieć o bezpieczeństwie iCloud oraz o tym, jak korzystać z uwierzytelniania dwuskładnikowego i innych kroków bezpieczeństwa, aby zachować jakiś zboczeniec o imieniu 4chan od puszczania szczypiec w całym Internecie.
Czy powinienem włączyć uwierzytelnianie dwuskładnikowe iCloud?
Tak. Dodanie uwierzytelniania dwuskładnikowego do konta Apple ID zapewni dodatkową ochronę przed prostą kradzieżą hasła. Będzie to wymagało wprowadzenia kodu wysłanego na iPhone'a lub iPada, który potwierdza, że tak, to całkowicie Ty próbujesz się zalogować.
Jak to włączyć?
Nasz człowiek Joshua Smith przeprowadzi Cię przez cały proces konfiguracji uwierzytelniania dwuskładnikowego w zaledwie 90 sekund w tym filmie instruktażowym:
Czy po aktywacji dwuskładnikowej skandaliczne zdjęcia w moim strumieniu zdjęć będą bezpieczne?
Nie. Dwie rzeczy naprawdę zabezpieczają tylko trzy rzeczy: 1) Logowanie do My Apple ID. 2) Robienie zakupów w iTunes z nowego urządzenia. 3) Otrzymywanie od Apple wsparcia związanego z Apple ID. Pojawiły się plotki, że dwuskładnikowe zabezpieczenia iCloud rozszerzą się na inne usługi, ale na razie nie chroni kopii zapasowych iCloud, danych Find My iPhone ani dokumentów przechowywanych w iCloud.
Więc atakujący może pobrać cały mój strumień zdjęć, a iCloud nie sprawdzi, czy to naprawdę ja?
Nie. Jest to jedna z największych wad niekompletnego uwierzytelniania dwuskładnikowego Apple. Kopie zapasowe iCloud nie są chronione, więc wystarczy, że atakujący uzyska Twój identyfikator Apple ID, zhakuje hasło, a następnie całkowicie nie wykryje wszystkie dane za pomocą tego samego narzędzia kryminalistyczne jak policja.
Tylko dlatego, że niektóre gwiazdy zostały zhakowane, nie oznacza to, że też jestem zagrożony, prawda?
Zło. Jennifer Lawrence może trafiać na wszystkie nagłówki, ale niewielu wspomniało, że te ataki zdarzają się codziennie zwykłym ludziom. Cała odgałęzienie 4chan istnieje dla dusza celu kradzieży nagich zdjęć używając czyjegoś Apple ID, na którym mogą zdobyć. Zboczeńcy dopracowali ten proces do poziomu nauki tak łatwego, że mógłby to zrobić każdy napalony 14-latek.
Czy to wszystko wina Apple’a?
Nie, ale trochę. jabłko zostawiłem drzwi otwarte, ale największy hack celebrytów wszechczasów był wspomagany czynnikami oprócz niekompletnego uwierzytelniania dwuskładnikowego iCloud. Osoby zgrywające z AnonIB były w stanie łatwiej uzyskać hasła dzięki iBrute, aplikacja, która wykorzystała błąd funkcji Znajdź mój iPhone, aby umożliwić nieograniczoną liczbę prób podania hasła. Osoby atakujące wykorzystywały również narzędzia, takie jak Elcomsoft Phone Password Breaker, do pobierania całych kopii zapasowych, co pozwalało im usuwać stare zdjęcia, które celebryci mogli usunąć z ich rolki z aparatu kilka miesięcy wcześniej.
Co Apple może zrobić, aby temu zapobiec?
Prosty e-mail z powiadomieniem za każdym razem, gdy kopia zapasowa iPhone'a została pobrana przez komputer, byłby dobrym początkiem. Pomocne byłoby również wymaganie od użytkowników wprowadzenia innego kodu identyfikacyjnego podczas przywracania urządzenia lub logowania się na konto iCloud z nowego urządzenia lub lokalizacji. Wydanie oświadczenia, że celebryci po prostu nie używają właściwie swoich iPhone'ów, nie wystarczy. Apple musi tworzyć rozwiązania, które pozwolą użytkownikom odgrywać bardziej aktywną rolę w zakresie ich danych i długoterminowego zarządzania nimi.
Co jeszcze mogę zrobić, aby chronić swoje dane?
Utwórz złożone hasło do iCloud (i rozważ użycie potężnego narzędzia, takiego jak 1Hasło które będą zarządzać wszystkimi Twoimi silnymi hasłami). Użyj prywatnego adresu e-mail, aby zarejestrować się w usługach w chmurze. Zaszyfruj swoje zdjęcia. Wymyśl losowe odpowiedzi na pytania dotyczące resetowania hasła. Nie udostępniaj danych osobowych w Internecie. A jeśli naprawdę chcesz mieć pewność, że świat nie rzuci okiem na twoje nagie selfie, skorzystaj z rady RZA i nie umieszczaj swoich niegrzecznych kawałków na ekranie.