Artykuły dotyczące tematu: Chris Welch

dodany: 23.03.2013 | tagi: , ,

Kolejna wpadka Apple

0

Apple ostatnio robi sobie czarny PR – co chwilę słyszy się o kolejnych wpadkach firmy…  Ledwo przedwczoraj Apple wprowadziło dwuetapowe uwierzytelnianie do usługi iCloud, a już wczoraj wykryto poważną lukę w ich systemie chmury, która pozwalała na  zresetowanie hasła do konta. Wystarczyło znać adres e-mail ofiary oraz jego datę urodzin – informuje Chris Welch z The Verge.

Słabość tkwiła na stronie resetu hasła iforgot.apple.com/iForgot/iForgot.html – wystarczyło odpowiednio zmodyfikować URL podczas zapytania o datę urodzin. Niestety ze względów bezpieczeństwa modyfikacja adresu nie została opisana.

Przejście do etapu resetu hasła (źródło the Verge)

Przejście do etapu resetu hasła (źródło: The Verge).

Na pocieszenie zostaje fakt, że dwuetapowe uwierzytelnianie chroni przed tym eksploitem – pozostaje jednak pytanie, ile kont w ten sposób zostało przejętych? – a należy mieć świadomość, że w usłudze iCloud może być przechowywany nasz kalendarz, kontakty, dokumenty, zdjęcia – czy może mniej ważne – utwory muzyczne.

 

iNotSecure

Niestety póki co nie wszyscy na świecie mogą skorzystać z ulepszonego mechanizmu logowania, gdyż usługa ta jest dostępna tylko dla niektórych krajów świata, tj: U.S.A. Wielkiej Brytanii, Irlandii, Australii i Nowa Zelandii.

Apple poważa tylko te kraje, gdzie sprzedaż ich produktów jest na zadowalającym dla nich poziomie?

Wiele osób, dla których usługa dwuetapowego uwierzytelniania jest dostępna i tak musi poczekać 3 dni na aktywowanie takiego uwierzytelniania!

 

Próba włączenia dwu-etapowego uwierzytelniania w iCloud (źródło The Verge)

Próba włączenia dwuetapowego uwierzytelniania w iCloud (źródło: The Verge).

 

Nie dziwi chyba fakt, że Polska jest tą gorszą częścią świata dla Apple, dlatego jedyną metodą na utrudnienie przejęcia konta, była zmiana daty urodzenia. Na szczęście Apple naprawiło problem. Po tym jak potwierdziło usterkę, wyłączyło usługę resetu hasła.