Apples tvåstegsverifieringsprocess är utformad för att göra ditt Apple-ID säkrare. När du försöker återställa ett lösenord eller göra andra typer av kontoändringar skickas en separat verifieringskod till en iOS -enhet du äger. Den koden används sedan för att verifiera att du är den du påstår dig vara innan du får göra några ändringar.
Många stora teknikföretag har erbjudit tvåstegsautentisering ganska länge, och Apples process är bara ett par månader gammal.
Nu när säkerhetsforskare har hunnit gräva igenom Apples implementering av tvåsteg har några problem dykt upp. När inloggningsuppgifterna för ett Apple-ID med tvåstegsverifiering aktiveras äventyras, finns det inget som hindrar hackare från att få åtkomst till iCloud-data, till exempel säkerhetskopiering av enheter.
ElcomSoft, ett företag som specialiserat sig på lösenordsprickprogramvara, har publicerat en ny rapport markera de säkra hålen i Apples tvåstegs autentiseringsprocess:
I sin nuvarande implementering hindrar Apples tvåfaktorsautentisering inte någon från att återställa en iOS-säkerhetskopia till en ny (inte betrodd) enhet. Dessutom, och det här är mycket mer ett problem, gäller Apples implementering inte för iCloud -säkerhetskopior, vilket tillåter alla som känner till användarens Apple -ID och lösenord för att ladda ner och få tillgång till information som lagras i iCloud. Detta är lätt att verifiera; helt enkelt logga in på ditt iCloud -konto, så får du fullständig information om allt som lagras där utan att begära ytterligare inloggningsinformation.
Enligt ElcomSofts uppfattning är detta bara inte rätt sätt att göra detta ur säkerhetssynpunkt. iCloud har utnyttjats tidigare och kommer att utnyttjas i framtiden.
Rapporten fortsätter att visa hur man känner till ett Apple ID: s inloggningsuppgifter ger full åtkomst till enhetssäkerhetskopior lagrade i iCloud. ElcomSoft kunde ladda ner en säkerhetskopia med ID: s inloggningsuppgifter utan att någonsin komma i kontakt med tvåstegsautentisering. Den fysiska iOS -enhet som säkerhetskopian kom från behövdes inte; ElcomSoft laddade den helt enkelt på en ny enhet och återställde.
En annan säkerhetsfråga är att Apple skickar tvåstegs verifieringskoder direkt till en iOS-enhets låsskärm, vilket innebär att alla kan få PIN-koden utan att låsa upp enheten. En hackare måste dock ha fysisk åtkomst till enheten för att det ska fungera. ElcomSoft föreslår att verifieringskoden inte visas på låsskärmen så att användaren måste ange enhetens upplåsningskod först.
"För en ordens skull vill jag säga att Apples tillvägagångssätt för att implementera tvåfaktorsautorisation inte ser ut som en färdig produkt", säger Vladimir Katalov från ElcomSoft i rapporten. "Det är bara inte så säkert som man kan förvänta sig att den här lösningen ska vara."
Det är viktigt att notera att ovannämnda hack skulle bara hända om ett offer var specifikt riktad, och du kan aldrig ha 100% garanti för att data som lagras på internet inte kommer att vara det äventyras.
Apples autentiseringsfunktion i två steg är för närvarande tillgänglig i USA, Storbritannien, Australien, Irland, Nya Zeeland. Mexiko, Tyskland Nederländerna, Ryssland, Österrike, Brasilien, Belgien, Portugal, Italien och Polen. Tvåstegsverifiering kan aktiveras under ditt Apple-ID: s inställningar "Lösenord och säkerhet" på webben.
Källa: ElcomSoft
Via: Ars Technica
Bild: CNET