Acum cateva saptamani de zile, cei de la Apple au implementat un nou sistem de protectie pentru Apple ID-uri, el permitand posesorilor de Apple ID-uri sa adauge un nou “strat” de securitate pentru conturile facute la iTunes, iCloud, etc. Dorind sa verifice cat de vulnerabile sunt Apple ID-urile si datele din iCloud dupa implementarea acestor masuri de securitate, cei de la Elcomsoft au inceput sa testeze sistemul si din pacate au ajuns la concluzia ca backup-urile noastre din iCloud raman neprotejate.
In its current implementation, Apple’s two-factor authentication does not prevent anyone from restoring an iOS backup onto a new (not trusted) device. In addition, and this is much more of an issue, Apple’s implementation does not apply to iCloud backups, allowing anyone and everyone knowing the user’s Apple ID and password to download and access information stored in the iCloud. This is easy to verify; simply log in to your iCloud account, and you’ll have full information to everything stored there without being requested any additional logon information.
Practic Apple protejeaza acum utilizatorii impotriva achizitiilor facute de pe terminale care nu au fost verificate de catre companie, cerandu-le acestora sa introduca datele de siguranta la achizitie, insa acelasi lucru nu se intampla si in cazul iCloud. Daca o persoana care ne cunoaste username-ul si parola doreste sa instaleze un backup pe un terminal pe care Apple nu l-a verificat, nimic nu il impiedica sa o faca, iCloud-ul neavand aceleasi masuri de siguranta disponibile pentru a ne proteja.
In ElcomSoft’s opinion, this is just not the right way to do this from a security point of view. iCloud has been exploited in the past (see Norwegian Teenagers Hacking iCloud Accounts) and will be exploited in the future. To me the story here is all about Apple offering a 2FA [two-factor authentication] solution that doesn’t really add much extra security for you (files, documents etc), but it protects them (and you) from unauthorized money transactions and changes to your account.
Ideea de a nu implementa acest sistem de securitate complicat ar putea avea la baza faptul ca utilizatorii nu sunt chiar atat de incantati de ideea de a trebui sa introduca parole pentru intrebarile secrete de fiecare data cand se logheaza pe un terminal nou. Sistemul de autentificare in doi pasi este complex, protejeaza utilizatorii, insa poate deveni o problema in utilizare, iar Apple poate sa fi luat decizia de a nu il implementa tocmai pentru a usura interactiunea utilizatorilor cu iCloud.
Indiferent de motivatia celor de la Apple, e putin probabil ca sistemul sa nu fie implementat si in iCloud, mai ales ca in curand toata lumea va incepe sa-i planga lipsa.
