Дослідник із кібербезпеки Laxman Muthiyah повідомив про виявлення критичної уразливості в функції скидання пароля Apple. Її експлуатація дозволяє перехопити контроль над будь-обліковим записом iCloud, проте Apple применшує вплив проблеми.
Проблема пов’язана з обходом різних заходів безпеки, які застосовуються Apple для запобігання спробам брутфорс-атак на функцію “забутий пароль” для облікових записів Apple. При спробі скинути пароль користувачеві пропонується вказати свій номер телефону або адресу електронної пошти, щоб отримати одноразовий код доступу з 6 цифр. Таким чином, зловмисник, який бажає отримати доступ до облікового запису, спочатку повинен знати номер телефону або адресу електронної пошти жертви, а потім правильно вгадати шестизначний код або мати можливість перебрати приблизно 1 млн. можливих варіантів.
Для запобігання подібного підбору коду Apple обмежила кількість наданих спроб до 5, а також обмежила кількість одночасних POST-запитів до одного й того ж сервера з однієї IP-адреси до 6. Таким чином зловмиснику потрібно 28 тис. IP-адрес для відправки мільйона запитів.
В якості додаткової міри безпеки Apple також занесла в чорний список постачальників хмарних послуг і, імовірно, автоматично відхиляє POST-запити, що надходять від AWS, Google Cloud тощо. Однак дослідник виявив, що зловмисник може відправляти запити, використовуючи незаблоковані хмарні сервіси для підбору 6-значний коду з метою отримання доступу до облікового запису iCloud.
ІБ-експерт повідомив Apple про уразливість 1 липня 2020 року, і в квітні 2021 року ТехноГігант випустив патч. Дослідник стверджував, що Apple не повідомила його про усунення проблеми. Крім того, за словами фахівців Apple, тільки дуже невелика частина облікових записів коли-небудь піддавалася ризику цієї атаки, і вкрай мало користувачів пристроїв Apple були уразливі до неї.
“Ця атака працює тільки проти облікових записів Apple ID, які ніколи не використовувалися для входу на захищені паролем iPhone, iPad або Mac”, – заявили в компанії, зменшуючи оцінку дослідника.
За словами дослідника, компанія спробувала приховати той факт, що уразливість була критичною, і навіть змінила відповідну сторінку підтримки. Він вважає, що зміну було внесено в жовтні 2020 роки після відправки повідомлення про проблему.
Apple запропонувала досліднику винагороду за виявлення уразливості в розмірі $ 18 тис., але він відмовився від неї, заявивши, що компанія значно применшила значення уразливості і повинна була виплатити йому $ 100 тис. або навіть $ 350 тис.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як виявити та чому краще не сперечатися з “тролями”? ПОРАДИ
Правила безпеки дітей в Інтернеті
Як захистити підлітків від інтернет-шахраїв? ПОРАДИ
До речі, Google планує ускладнити Android-додаткам відстеження користувачів. Компанія анонсувала зміни в те, як обробляються унікальні ідентифікатори пристроїв, що дозволяють відстежувати їх між додатками.
Також Apple має намір випустити оновлення для своїх пристроїв, після якого вони дозволять користувачам дізнаватися, яку саме інформацію про них збирають додатки.
Microsoft детально розповість про “наступне покоління Windows” на спеціальному заході, який відбудеться в кінці цього місяця. Компанія почала розсилку запрошень на захід, який буде повністю присвячено програмній платформі Windows і почнеться о 18:00 (за київським часом) 24 червня.
Окрім цього, зловмисники поширюють шкідливе ПЗ під виглядом популярних Android-додатків від відомих компаній. Підроблений плеєр VLC, антивірус Касперського, а також підроблені додатки FedEx і DHL встановлюють на пристроях жертв банківські трояни Teabot або Flubot, вперше виявлені раніше в цьому році.
