Po ostatnich włamaniach do iCloud, Tim Cook obiecuje zmiany
Parę dni temu Internet obiegły prywatne zdjęcia celebrytek, które zostały wykradzione z ich kont iCloud. Wina leży zarówno po stronie poszkodowanych, jak i Apple – ci ostatni nie zauważyli błędu w Find my iPhone, który pozwalał na nielimitowane zgadywanie haseł. Błąd został naprawiony, ale to nie koniec zmian.
Tim Cook dzisiaj udzielił wywiadu dla The Wall Street Journal, w którym potwierdził, że konta zostały zhackowane poprzez udzielenie poprawnych odpowiedzi na pytania pomocnicze, które są zadane, gdy użytkownik zapomni hasła. Jednocześnie potwierdził, że żadne dane nie wyciekły z serwerów Apple. Z jednej strony to ważna informacja – oznacza, że dane same z siebie nie potrafią opuścić serwerów, ani że nikt w Apple im w tym nie pomógł. Jednak z drugiej strony, gdy ktoś kradnie samochód ze strzeżonego parkingu, właściciel wini za to złodzieja, czy stróża parkingowego? Zgodnie ze stanowiskiem Apple, celebrytki posiadały banalne odpowiedzi na wspomniane pytania zabezpieczające.
Właśnie dlatego, Tim Cook stara się wytłumaczyć w swoich wypowiedziach, że problemem nie były zabezpieczenia oferowane przez Apple – problemem było ich złe użycie. To tak jakby właściciel tego skradzionego samochodu zostawił kluczyki na ławce w parku. Strażnik nie zwraca uwagi na to, czy osoba, która wjeżdża na parking to ta sama, która wyjeżdża z niego. Dokładnie taka sytuacja miała miejsce w tym przypadku. Ktoś dotarł do haseł i zwyczajnie wszedł na konta iCloud.
Najniebezpieczniejsza część historii to historia zdjęć, które zostały wykradzione. Otóż część z nich miała już swoje lata, ale co ważniejsze – część z nich była skasowana miesiące temu. To oznacza, że ktokolwiek włamał się na konta, miał do nich dostęp od jakiegoś czasu. Tutaj wychodzi, moim zdaniem, największa wada chmury jeśli chodzi o bezpieczeństwo. Gdy ktoś kradnie telefon, poszkodowany dowiaduje się praktycznie momentalnie, szczególnie dzisiaj, gdy wszyscy jesteśmy wgapieni w komórki całymi dniami. Gdy ktoś włamuje się na chmurę, informacja ta może być niewidoczna dla poszkodowanego przez lata.
Cook obiecał, że rozwiążą ostatnią kwestię. Apple wprowadzi powiadomienia (push oraz alerty e-mail) o niespodziewanych próbach zmiany hasła, o rozpoczęciu czyszczenia zawartości iCloud czy o nowym urządzeniu, które loguje się do naszego konta. Firma potrzebuje około dwóch tygodni na wdrożenie tego rozwiązania. W podobnym terminie powinna pojawić się aktualizacja do iOS 8, która doda dwustopniową weryfikację iCloud do urządzeń z iOS.
Niestety, to nie pomoże, dopóki pierwsza kwestia nie będzie rozwiązana. Wiele osób ciągle używa banalnych haseł. Dzisiaj coraz częściej widuje się praktyki, gdy w przypadku rejestracji do nowego serwisu, wymaga on hasła zawierającego dużą oraz małą literę, cyfrę, a także znak specjalny. To jednak za mało – ciągle pozostaje kwestia nieszczęsnych pytań pomocniczych. W dobie Facebooka pytanie o nazwisko panieńskie matki jest równoznaczne z udzieleniem dostępu do konta. Ważne jest, aby wybierać pytania osobiste, a także udzielać odpowiedzi niezgodnych z prawdą. Można wpisać tam nawet losowy ciąg znaków, byle go nie zapomnieć. Popularnym sposobem na “zapamiętywanie” haseł jest używanie aplikacji typu 1Password – schowka, do którego kluczem jest jedno, główne hasło. Problem pojawi sie, gdy ktoś jednak pozna to jedno, jedyne hasło. Wraz z iOS 8 będzie można otworzyć schowek za pomocą Touch ID. Czytnik palców to na ten moment najbezpieczniejszy sposób na identyfikację użytkownika, jeśli ten nie chce zapamiętać konkretnego ciągu znaków.
Wybór należy do Was. Pamiętajcie jednak, że czasem warto poświęcić parę chwil na nauczenie się bardziej skomplikowanego hasła, czy paru dolarów na zakup 1password, niż ryzykować jakąkolwiek stratę. Niekoniecznie materialną.
Komentarze: 11
Dla precyzji – to, że to były stare skasowane zdjęcia wcale nie śiadczy o tym, że ktos miał wieloletni dostęp do kont.
Jak na razie wszystko świadczy, że zdjęcia zostały wykradzione z iCloud backup a nie z photostream. Mogły być dawno skasowane z telefonu i z photostrem-u, ale być w starych backupach iCloud. Do których można było się dostać mając dostęp jeden dzień, nie koniecznie lata.
Tu się zgodzę. Ale w iCloud przechowywany jest tylko ostatni backup, a te robione są co 24 godziny.
Tak, faktycznie. Pytanie, czy stare backupy są fizycznie kasowane.
Z całą pewnością dwustopniowe zabezpieczenie kont Apple nie jest dobrze zrobione – do icloud.com można się bez niego zalogować nawet mając je włączone. Google i Microsoft są tu o wiele lepsi. Usługi w chmurze niestety nigdy nie były mocną stroną Apple.
No ale jak byś chciał namierzyć telefon, czy usunąć jego zawartość w przypadku kradzieży bądź zgubienia, gdy do zalogowania na icloud.com potrzebny byłby kod z tego zgubionego/skradzionego telefonu?
Zgoda, ale i na to są sposoby – Google i Microsoft sobie radzą. Np. Google Authenticator można założyć na wielu różnych urządzeniach jednocześnie – wystarczy mieć jedno z nich (a nawet żadnego, wystarczy mieć wydruk kodu kreskowego i ponownie zeskanować).
Apple zresztą też pozwala dodać kilka urządzeń – iPada, poprzedni model iPhona itp.
PS. Sprawa nie jest nowa : “In its current implementation, Apple’s two-factor authentication does not prevent anyone from restoring an iOS backup onto a new (not trusted) device.”
http://blog.crackpassword.com/2013/05/apple-two-factor-authentication-and-the-icloud/
Oczywiście, można mieć autoryzację i wystarczy, że z dowolnego urządzenia wpiszemy wymagany kod do zalogowania, ale przecież dużo osób ma tylko iPhone’a. Nie każdy posiada iPhone’a i iPada, z resztą chociaż ja mam dwa urządzenia, to nie chodzę z nimi non-stop. Przy sobie zawsze mam iPhone’a i jak mi zginie, to chciałbym szybko zalogować się na dowolnym komputerze do FindMyPhone, żeby go zlokalizować.
Pamiętanie o noszeniu ze sobą jakiegoś wydruku, to już w ogóle odpada, a tak w ogóle to gdzie miałbym go zeskanować podchodząc do dowolnego PC-ta w celu zalogowania się do iCloud?
Jasne, ale dwustopniowe logowanie nie jest obowiązkowe – to opcja. Bezpieczeństwo kontra wygoda.
Zgadzam się ;)
Jestem laikiem w tej kwestii, ale czy chodzi o to, że zdjecia z icloud są przechowywane przez 24h a potem automatycznie całkowicie usuwane?
Kopia zapasowa telefonu jest przetrzymywana do czasu utworzenia nowej kopii, a te są tworzone co 24 godziny (o ile co 24 godziny telefon będzie podłączony do ładowarki i sieci WiFi). Co do zdjęć, to Strumień Zdjęć przetrzymuje zdjęcia przez 30 dni lub do 1000 zdjęć.
Świetnie, dziękuję :)