Двоетапний процес автентифікації Apple розроблений, щоб зробити ваш Apple ID більш безпечним. Під час спроби скинути пароль або внести інші види зміни облікового запису, на власний пристрій iOS надсилається окремий код перевірки. Потім цей код використовується для підтвердження того, що ви є тим, ким ви себе видаєте, перш ніж вам дозволять вносити будь -які зміни.
Багато великих технологічних компаній протягом тривалого часу пропонують двоетапну автентифікацію Процесу Apple лише кілька місяців.
Тепер, коли дослідники безпеки встигли заглибитися у впровадження Apple двохетапної дії, з’явились деякі проблеми. Після того, як дані для входу в ідентифікатор Apple з увімкненою двоетапною автентифікацією будуть скомпрометовані, хакерам нічого не заважатиме отримати доступ до даних iCloud, наприклад резервні копії пристроїв.
Компанія ElcomSoft, яка спеціалізується на програмному забезпеченні для зламу паролів, має опублікував новий звіт виділення безпечних прогалин у двоетапному процесі автентифікації Apple:
У поточній реалізації двофакторна автентифікація Apple нікому не заважає відновити резервну копію iOS на новому (не довіреному) пристрої. Крім того, і це набагато більша проблема, впровадження Apple не стосується резервних копій iCloud, що дозволяє усі і всі, хто знає ідентифікатор Apple Apple та пароль користувача для завантаження та доступу до інформації, що зберігається в iCloud. Це легко перевірити; просто увійдіть у свій обліковий запис iCloud, і ви отримаєте повну інформацію про все, що там зберігається, без запиту на додаткову інформацію для входу.
На думку ElcomSoft, це просто не правильний спосіб зробити це з точки зору безпеки. iCloud експлуатувався в минулому і буде використовуватися в майбутньому.
Далі звіт демонструє, як знання даних для входу в Apple ID надає повний доступ до резервних копій пристроїв, що зберігаються в iCloud. ElcomSoft змогла завантажити резервну копію, використовуючи дані для входу в ідентифікатор, не вступаючи в контакт з двоетапною автентифікацією. Фізичний пристрій iOS, з якого надходила резервна копія, не знадобився; ElcomSoft просто завантажив його на новий пристрій і відновив.
Інша проблема безпеки полягає в тому, що Apple надсилає двоетапні коди перевірки безпосередньо на заблокований екран пристрою iOS, що означає, що кожен може отримати PIN-код без розблокування пристрою. Однак хакер мав би мати фізичний доступ до пристрою, щоб він працював. ElcomSoft пропонує, щоб код підтвердження не відображався на екрані блокування, щоб користувачеві спочатку потрібно було ввести пароль розблокування пристрою.
"Для протоколу, я хотів би сказати, що підхід Apple до впровадження двофакторної авторизації не виглядає як готовий продукт",-сказав у звіті Володимир Каталов з ElcomSoft. "Це не настільки безпечно, як можна було б очікувати від цього рішення".
Важливо зауважити, що вищезгаданий злом відбудеться лише за наявності жертви спеціально націлені, і ви ніколи не зможете мати 100% гарантію того, що даних, збережених в Інтернеті, не буде скомпрометований.
Функція двоетапної автентифікації Apple наразі доступна у США, Великобританії, Австралії, Ірландії, Новій Зеландії. Мексика, Німеччина, Нідерланди, Росія, Австрія, Бразилія, Бельгія, Португалія, Італія та Польща. Двоетапну автентифікацію можна ввімкнути в налаштуваннях пароля та безпеки вашого Apple ID у мережі.
Джерело: ElcomSoft
Через: Ars Technica
Зображення: CNET