Apple tem aplicado uma atualização de segurança que quebra um iCloud ferramenta de hacking recentemente distribuído, que aproveitou a falha que levou ao corte em massa de fotos nudie pertencentes a celebridades, incluindo Jennifer Lawrence e Kate Upton.
IDICT foi supostamente criado para forçar Cupertino em atraso, que fixa uma falha de segurança bem abertos a maioria acreditava que tinha fixado na sequência da celebridade iCloud hackear no ano passado.
A ferramenta IDICT permitiu ataques de dicionário contra a base de usuários da Apple iCloud. Mas Cupertino controles que embotados ataques com base na ferramenta de bloqueio de contas-alvo depois de um grande número de tentativas de login em breve aplicado.
O utilitário, que foi publicado no Github no dia de Ano Novo, foi frustrada por melhores controles de segurança pela Apple aplicadas no dia 2 de janeiro, como o desenvolvedor da força bruta castrado ferramenta de hacking reconheceu .
O utilitário posou como um dispositivo iPhone legítimo tentar logar no iCloud.com. Controles mais rígidos aplicados no ano passado significou contas deveria ter sido bloqueada após cinco tentativas fracassadas, mas hackers pr0x13 descobriu um truque para enganar o sistema da Apple.
"Este bug é dolorosamente óbvio e era apenas uma questão de tempo antes que ele foi usado em particular para atividades maliciosas ou nefastas", pr0x13 explicou, acrescentando: ". Eu divulgado publicamente assim que a Apple vai consertá-la"
Usuários afetados por ataques baseados em IDICT teria sido aqueles que não usar a autenticação de dois fatores (2FA) e cujos endereços de e-mail eram públicos.
Jerome Segura, pesquisador sênior de segurança da Malwarebytes, comentou: "Esta nova ferramenta de hacking de adivinhar as senhas dos usuários do iCloud nos faz lembrar de um ataque similar destinado a celebridade contas de alguns meses atrás IDICT, já que esta ferramenta é chamada, é feita de alguns. arquivos php e um arquivo de texto grande com centenas de milhares de senhas ".
Segura criticado a Apple por não ter colocado obstáculos suficientemente robustos protecção contra ataques de força bruta antes do aparecimento do utilitário hacking.
"O hacker carrega os scripts em um servidor web local e é capaz de realizar tentativas de login ilimitadas usando a lista de senhas", explicou ele. "Esta técnica, conhecida como uma força bruta ataque de dicionário, só pode funcionar se o serviço que está tentando abuso não detectar e bloquear repetida e tentativas falhas de login.
"A Apple, assim como muitas outras empresas, que normalmente detectar esse tipo de abuso e bloqueia a conta específica a ser sondado. O que parece acontecer aqui, [com] o 'exploit', é um fracasso para notar o ataque de força bruta e, portanto, [a] falta de impedi-lo. " ®
Nenhum comentário:
Postar um comentário