Praėjusį savaitgalį internete tarsi gaisras sausame miške pasklido itin privačios garsenybių nuotraukos. Apkaltinti dėl šio nesmagaus įvykio buvo ir programišiai, kurie nuotraukas pavogė bei išplatino, ir programuotojai, sukūrę įrankius toms nuotraukoms pavogti, ir „Apple“, kurių „iCloud“ paslaugos saugumu smarkiai suabejota, rašo wired.com.
Šioje grandinėje nuo „iCloud“ tarnybinių stočių iki viešo interneto itin įdomi detalė yra „programuotojų sukurtas įrankis nuotraukoms pavogti“. Iš tiesų tai – programinė įranga, kuria pasinaudojant policija ir žvalgybos tarnybos iš įtariamųjų „iPhone“ įrenginių gali „nusiurbti“ visą per šiuos telefonus keliavusią informaciją. Tik šiuo atveju ta įranga pasinaudojo ne policija, o nusikaltėliai.
Viename iš interneto forumų, „Anon-IB“, kuriame labai dažnai puikuojamasi pavogtomis privačiomis nuotraukomis, programišiai atvirai aptarinėja, kaip naudotis programa EPPB („Elcomsoft Phone Password Breaker“) ir per ją atsisiųsti visus savo aukų duomenis iš „iCloud“ tarnybos saugojamos atsarginės kopijos. Programinę įrangą pardavinėja Maskvoje įsteigta bendrovė „Elcomsoft“, o pirkėjai bent jau teoriškai turėtų būti tik valstybinės organizacijos. EPPB derinys su „iBrute“ – „iCloud“ paskyrų slaptažodžius gliaudančia programa – programišiams suteikia galimybę apsimesti aukos „iPhone“ savininku ir atsisiųsti pilną atsarginę telefono informacijos kopiją. Ir bent jau antradienį šis duetas vis dar buvo naudojamas nuotraukoms vogti – jų srautas „Anon-IB“ forumuose nelėtėjo.
Norėdamas padėti mažiau patyrusiam programišiui, savo tapatybės neatskleidžiantis „Anon-IB“ naudotojas rašė: „Pasinaudok skriptu jos slaptažodžiui nulaužti... pasinaudok „eppb“ atsarginei versijai atsisiųsti. Savo trofėjus patalpink čia“.
Košmaras „Apple“ saugumo inžinieriams ir „iCloud“ paskyrose itin asmeniškas nuotraukas saugantiems žmonėms prasidėjo savaitgalį, kuomet internete pasklido daugybės garsenybių, taip pat Jennifer Lawrence, Kate Upton ir Kirsten Dunst, nuotraukos. Saugumo ekspertai greitai nustatė, jog slaptažodžiams įveikti pasinaudota Aleksejaus Trošičevo sukurtu įrankiu „iBrute“. Šis įrankis išnaudoja „Find my iPhone“ funkcijos spraga, leidžiančia nepaliaujamai bandyti „brute-force“ metodu atspėti aukos paskyros slaptažodį.
Jeigu su „iBrute“ gaunamas aukos paskyros vardas ir slaptažodis, galima prisijungti prie jo „iCloud“ paskyros ir iš jos išvogti nuotraukas. Bet jeigu prie paskyros jungiamasi per EPPB programą, taip apsimetant aukos telefonu, įgyjama galimybė atsisiųsti visą „Apple“ įrenginio informacijos atsarginę kopiją. Tokiu būdu įsibrovėliai gauna prieigą prie gerokai platesnio duomenų spektro – vaizdo įrašų, naudojamų programėlių sąrašo, kontaktų, žinučių.
Ir nors gali pasirodyti, jog kalčiausi šioje situacijoje yra „Apple“, neužtikrinę savo klientų paskyrų saugumo, bendrovė antradienį išplatino pranešimą, kuriuo tikinama, jog jų sistemos nebuvo „nulaužtos“, o programišiai „po labai tikslingos atakos prieš vartotojų vardus, slaptažodžius ir saugumo klausimus“ duomenis pavogė tik dėl to, kad jų aukų slaptažodžiai buvo silpni.
Norint įsigyti EPPB programą, kaip bebūtų keista, visai nereikia įrodinėti, jog atstovaujate teisėsaugos ar kokioms nors kitoms valstybinėms struktūroms. Tereikia sumokėti 400 JAV dolerių. Nors taupesnieji šią programą atsisiunčia per „Torrent“ svetaines. Keista tai, jog šios programos kūrėjai produkto aprašymą pateikė taip, kad jis programišių akį viliotų ne mažiau nei teisėsaugininkų: „Viskas, ko reikia norint prieiti prie internete saugomų atsarginių kopijų, saugomų debesų tarnybinėse stotyse – tai vartotojo prisijungimo duomenys – „Apple ID“ ir atitinkamas slaptažodis“, rašoma įmonės svetainėje. „Duomenis galima prieiti be įrenginio savininko sutikimo ar žinios, todėl „Elcomsoft Phone Password Breaker“ įrankis – tai idealus sprendimas teisėsaugos ir žvalgybos organizacijoms“.
Tuo tarpu „iBrute“ kūrėjas A. Trošičevas pažymėjo, jog „Apple“ jau išplatino „Find My iPhone“ atnaujinimą, skirtą užkimšti saugumo skylę, kuria naudojosi „iBrute“.
„Viskas, linksmybės baigėsi, „Apple“ ką tik užlopė skylę“, svetainėje „Github“ parašė programuotojas. Nors ir po atnaujinimo nepasibaigusios diskusijos apie tai, kaip su „iBrute“ ir EPPB kombinacija galima būtų vogti duomenis veikiausiai reiškia, jog arba atnaujinimas dar nebuvo pritaikytas visiems vartotojams, arba kad duomenų vagystei su EPPB naudojami iš anksto pavogti prisijungimo duomenys.