Digitoday

ICloud-aukosta varoitettiin, Apple jätti paikkaamatta

Julkaistu: , Päivitetty:

Apple ei reagoinut venäläisen hakkerin jo toukokuussa 2013 julkistamiin iCloud-pilvipalvelun heikkouksiin. Hänen kehittämänsä softa on viime kesästä lähtien auttanut pilvessä olevien tietojen luokse.
Applen iCloud-pilvipalvelujen tietoturvaongelma ei ole uutta tietoa, sillä asia tuli julki jo viime vuonna. Venäläishakkeri Vladimir Katalov piti lokakuussa 2013 Kuala Lumpurissa järjestetyssä Hack in the Box -tietoturvatapahtumassa esityksen nimellä Cracking and Analyzing Apple’s iCloud Protocols.

Katalov kirjoitti iCloudin heikkouksista yrityksensä Elcomsoftin blogiin jo tuota ennen, toukokuussa 2013.

Hack in the Boxista kirjoittaneen verkkolehti ZDnetin mukaan Katalov kertoi jo tuolloin, että pilvessä oleviin tietoihin pääsee käsiksi käyttäjän sähköpostiosoitteella ja salasanalla. Murtaja ei siis tarvitse käyttäjälle kuuluvaa, Applen palveluihin kytkettyä laitetta, eikä kaksivaiheinen tunnistus suojele pilvessä olevaa tietoa.

Hakkerin havainnon mukaan iCloud-varmuuskopiot puhelimen tiedoista, Find my iPhone -tiedot sekä pilveen tallennetut asiakirjat olivat saatavissa vain sähköpostiosoitteella ja salasanalla.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Katalovin mukaan pilvessä oleva tieto on salattua, mutta salausavaimet säilytettiin yhdessä tallennetun datan kanssa. Lisäksi kävi ilmi, että salausavaimet välitetään myös iCloud-pilvipalvelua ylläpitäville tahoille, jotka ovat Microsoft sekä Amazon.

Ehkä merkittävin Katalovin tekemä havainto oli se, että kun käyttäjän iCloudissa olevat tiedot ladataan ulkopuolelta käsin (tehdään niin sanottu "rippi"), käyttäjä ei saa asiasta ilmoitusta eikä tiedä joutuneensa tietomurron uhriksi. Mutta käyttäjän itse ladatessa varmuuskopion ilmoitus kyllä saapuu sähköpostiin.

Katalov teki analyysinsä kuuntelemalla murretun iPhonen tietoliikennettä. Mies huomautti kuitenkin ZDnetille, että analyysi olisi voitu tehdä myös murtamattomalla laitteella.

ZDnetin haastattelussa Katalov selitti iCloudin heikkouden olevan "palvelun ominaisuus, ei bugi", eikä siis korjattavissa. Hän kehotti ihmisiä välttämään iCloudin käyttöä, mutta tunnusti pitävänsä siellä itse tietoja. 

Aukko sai sitä
hyödyntävän ohjelman


Katalovin paljastusten jälkeen havainnot kaupallistettiin. Katalovin Elcomsoft-yritys toi markkinoille pilveen tallennettuja tietoja lataavan EPPB (Elcomsoft Phone Password Breaker) -ohjelman. Ohjelman hinta vaihteli ominaisuuksista riippuen 79 dollarista 399 dollariin.

EPPB tuli markkinoille kesäkuun 17. päivä tänä vuonna.

EPPB osaa hyödyntää brute force -hyökkäyksissä grafiikkaprosessorin laskentatehoja ja pystyy lataamaan iPhonejen ohella pilvestä myös Windows Phonejen tiedot. Tämän lisäksi ohjelma osaa purkaa Blackberryjen salaukset.




Mashable kokeili murtouutisten jälkeen menestyksekkäästi ohjelmaa, ja toimittaja pääsi käsiksi sekä omaan että siskonsa iCloud-tiliin.

Oman tilinsä toimittaja mursi EPPB:n brute force -hyökkäyksellä. Siskon tili murtui tietämällä tämän sähköpostiosoite ja vastaamalla oikein turvakysymyksiin sekä syntymäaikakysymykseen.

Mashablen mukaan EPPB on laajalti pilveen tunkeutujien käytössä. Siitä on myös liikkeellä paljon piraattikopioita.

Applen toimitusjohtaja Tim Cook kertoi Applen lisäävän tietoturvaa. Tästä lähtien käyttäjälle annetaan ilmoitus, jos tämän iCloud-tilille kirjaudutaan uudella laitteella.

Kommentit

    Näytä lisää