Kilka tygodni temu ci z Apple wdrożyło nowy system ochrony dla apple IDCE, umożliwienie posiadaczom Apple ID dodania nowej „warstwy” zabezpieczeń do swoich kont iTunes, iClouditp. Chcą sprawdzić, jak bardzo są bezbronni apple IDi dane z iCloud po wdrożeniu tych środków bezpieczeństwa rozpoczęły się działania firmy Elcomsoft testować system i niestety doszliśmy do wniosku, że nasze kopie zapasowe iCloud pozostają niezabezpieczone.
W obecnej implementacji uwierzytelnianie dwuskładnikowe firmy Apple nie uniemożliwia nikomu przywrócenia kopii zapasowej systemu iOS na nowym (niezaufanym) urządzeniu. Ponadto, co stanowi znacznie poważniejszy problem, implementacja Apple nie dotyczy kopii zapasowych w iCloud, umożliwiając każdemu, kto zna Apple ID i hasło użytkownika, pobieranie informacji przechowywanych w iCloud i uzyskiwanie do nich dostępu. Łatwo to sprawdzić; po prostu zaloguj się na swoje konto iCloud, a będziesz mieć pełne informacje o wszystkim, co jest tam przechowywane, bez konieczności proszenia o dodatkowe informacje logowania.
W praktyce Apple chroni teraz użytkowników przed zakupami dokonywanymi na niezweryfikowanych przez firmę terminalach, prosząc przy zakupie o podanie danych zabezpieczających, ale to samo nie dzieje się w przypadku iCloud. Jeśli osoba znająca naszą nazwę użytkownika i hasło chce zainstalować kopię zapasową na terminalu, którego Apple nie zweryfikowało, nic nie stoi na przeszkodzie, aby to zrobić, ponieważ iCloud nie ma takich samych środków bezpieczeństwa, które mogłyby nas chronić.
Zdaniem ElcomSoft nie jest to właściwy sposób z punktu widzenia bezpieczeństwa. Usługa iCloud była wykorzystywana w przeszłości (patrz Norweskie nastolatki włamujące się do kont iCloud) i będzie wykorzystywana w przyszłości. Dla mnie cała historia dotyczy tego, że Apple oferuje rozwiązanie 2FA [uwierzytelnianie dwuskładnikowe], które tak naprawdę nie zapewnia zbyt wiele dodatkowego bezpieczeństwa dla Ciebie (plików, dokumentów itp.), ale chroni je (i Ciebie) przed nieautoryzowanymi transakcjami pieniężnymi i zmiany na Twoim koncie.
Pomysł niewdrażania tego skomplikowanego systemu bezpieczeństwa mógłby opierać się na fakcie, że użytkownicy nie są tak bardzo podekscytowani pomysłem konieczności wpisywania haseł do tajnych pytań za każdym razem, gdy logują się do nowego terminala. Dwuetapowy system uwierzytelniania jest złożony, chroni użytkowników, ale może stać się problemem w użytkowaniu, a Apple mógł podjąć decyzję o nie wdrażaniu go właśnie po to, aby ułatwić interakcję użytkownika z iCloud.
Niezależnie od motywacji osób z Apple, mało prawdopodobne jest, aby system nie został wdrożony w iCloud, zwłaszcza, że już niedługo wszyscy zaczną lamentować nad jego brakiem.
