imagazin arrow2-left arrow2-right arrow2-top arrow-up arrow-down arrow-left arrow-right cart close dossiers education fb instagram menu notification oander rss rss-footer search service shuffle speech-bubble star store stores tests twitter youtube

iPhone 8

Itt találsz mindent az iPhone 8-ról

MacBook és iPhone backup

Óvatosan backupold az iOS 10-et!


Nem sokkal a megjelenés után jött is az első iOS 10 frissítés, ami befoltozott pár kisebb problémát. Hamarosan várhatunk egy másikat is, mivel gondok akadtak a biztonsági mentésekkel…

A 2014-es “fappening” megvolt? Nyilván, tudom, hogy megvolt. Ez volt az a gigabotrány, amikor vagy 50 ismert személyiség, köztük Jennifer Lawrence, Kate Upton és Kirsten Dunst meztelen képeit lopták el. Ez akkor sok bajt okozott az Apple számára is, mivel a képek jelentős része a celebek feltört iCloud-fiókjaiból származtak.

Később kiderült, hogy a hiba oka elsősorban nem az iCloud volt hanem, hogy a hírességek Önként és dalolva megadták a belépéshez szükséges adataikat a támadóknak, amikor azok hamis emailekat küldtek nekik a cég nevében.

Jennifer Lawrence
Jennifer Lawrence, az egyik áldozat

Ez most, bár az esélye minimális, akár veled is megtörténhet egy frissen felfedezett biztonsági résnek köszönhetően. Pánikra semmi ok, van ideiglenes megoldás, és hamarosan lesz hivatalos Apple-féle foltozás is. Addig is, aki kíváncsi a teljes történtre, olvasson tovább. Akit pedig csak a megoldás érdekel, tekerjen a cikk végéhez.

Vissza a fappeninghez. A 2014-es támadásban, ahogy az a bírósági ügy adataiból kiderült, a hackerek felhasználtak egy jelszótörő programot is, amit az Elcomsoft, orosz igazságügyi szakértő cég szakemberei fejlesztettek.

A cég tehát ért ahhoz, miként lehet feltörni az iPhone-ok egyébként híresen erős biztonsági rendszerét. Ők vettek most észre egy újabb sebezhetőséget, ezúttal a biztonsági mentések körül. A probléma csak az iOS 10-et futtató készülékeket érinti, mivel ezzel került bevezetésre az Apple új jelszótitkosítási eljárása. A fentiek alapján, ha van, akinek a szavára érdemes hallgatni biztonságirés ügyben, akkor ők azok.

iOS backup

Az eddigi titkosítóeljárást egy úgynevezett PBKDF2 algoritmus végezte. Ez a jelszót 10 000-szer kódolta át betűk és számok hosszú sorába. Így a hackereknek rendkívül nehéz volt a dolguk, mivel nekik is legalább ennyi lépésen keresztül kellett visszafejteni a kódot. A probléma, hogy valamiért az iOS 10-ben nem ez, hanem egy hasonlóan beszédes nevű, SHA256 algoritmus került.

Ez csak egyszer futtatja le a kódolóciklust, amivel lehetőséget ad az illetéktelenek, hogy az úgynevezett brute force módszerrel (magyarul egy szoftver kipróbálja az összes jelszólehetőséget, amíg egyezést nem talál) könnyen hozzáférjenek a személyes adatokhoz.

hacker

A gyorsan itt elég komolyan veendő. Az Elcomsoft szakemberei szerint, 2 500-szor hamarabb törhető a mentés, mint az iOS 9-ben. Eddig másodpercenként 2 400 próbálkozást tudott elvégezni a szoftver, az új rendszerrel viszont már 6 milliót. Ez konkrétan azt jelenti, hogy a bárki számára hozzáférhető szoftverrel 80-90% az esély arra, hogy sikeres lesz a hack.

Per Thorsheim biztonsági szakértő és jelszóspecialista már odáig ment, hogy “az Apple-nek jár az év hülyéje-díj”. Ennek bizonyítására megjegyezte, hogy a régi, biztonságosabb kódolás párhuzamosan továbbra is benne van a rendszerben. Csak mivel ott a gyengébb is, a támadó választhat, hogy melyikkel próbálkozik, és nyilván nem a nehezebbel fog. Ennek viszont az az eredménye, hogy még a 8 karakteres jelszavak sincsenek biztonságban.

Azért is különösen súlyos a hiba, mert a mentés tartalmazza a Kulcskarikában tárolt jelszavakat is, amik rosszabb esetben akár lehetnek banki adatok.

FileVault illusztráció

A teljes képhez hozzátartozik, hogy az ügy azért nem annyira súlyos, mint elsőnek hangzik. A felhőbe tárolt mentések teljes mértékben biztonságban vannak, egyedül a számítógépen lévő backupokkal lehetnek gondok. Ehhez pedig az kell, hogy a támadó hozzáférhessen a (remélhetőleg jelszóval védett) géphez.

Az ügyben a Forbes-nek sikerült kicsikarnia egy hivatalos nyilatkozatot is az Apple-től:

Tudatában vagyunk a biztonsági mentések titkosítását érintő problémának. Hamarosan egy frissítésben javítjuk a sebezhetőséget. A hiba nem jelentkezik az iCloud mentéseknél, kizárólak a PC-n és Mac-en található iTunes mentések vannak veszélyben. Javasoljuk a felhasználóknak, hogy erős jelszóvédelemmel biztosítsák, hogy számítógépükbe csak az arra jogosult személyek tudjanak belépni. Kiegészítő biztonsági intézkedésként a FileVault programmal pedig az egész tárhely titkosítható.

Apple logo

Elég komoly baki, főleg azután, hogy tavaly a bostoni merénylet kapcsán az Apple még az FBI-t is visszautasította, amikor arra kérték, hogy nyissa fel a támadó telefonját a nyomozás érdekében. Ekkor arra hivatkoztak, hogy ezzel minden felhasználójuk biztonságát veszélyeztetnék.

Most persze közel sincs minden felhasználó veszélyben, sőt, ha tippelnem kéne nulla darab hack lesz ennek a biztonsági résnek a számlájára írva. Addig is, aki aggódik adataik biztonsága miatt, és még nem frissített iOS 10-re egyelőre ne is tegye. Aki pedig igen, fogadja meg az Apple tanácsát, és állítson be titkosítást vagy erős jelszóvédelmet a gépére.

Forrás: Forbes

Apple Watch akció
Apple Inc. (AAPL)

Ezt már olvastad?

A Sirinek ez is az egyik baja, hogy mindenki a célközönség. Valószínűleg hatékonyabb lenne, ha először jól működő modulokat hoznának létre egy-egy funkcióra szabva.

Miért nem ismeri anyanyelvünket az Apple virtuális asszisztense? ... - Klikk ide!