Доклад: 220 000 iCloud акаунта са пробити поради задна вратичка за настройка на джейлбрейк

Пробив в iCloud

Това е число, което със сигурност ще повдигне някои вежди: 220 000 iCloud акаунта са пробити в така наречената задна врата атака, станала възможна чрез злонамерено настройване на джейлбрейк.

Това изтичане на информация, което беше привлечено от вниманието ни от /r/джейлбрейк , беше съобщено от китайска онлайн платформа за докладване на уязвимости, наречена WooYun. Това е платформа за информационна сигурност, където изследователите по сигурността съобщават за уязвимости, а доставчиците дават обратна връзка. WooYun е легитимен сайт и е съобщил за хиляди проблеми, свързани със сигурността, само през този месец.

В публикация на своя уебсайт WooYun описва естеството на тази конкретна атака, заявявайки, че 220 000 акаунта са били компрометирани в резултат на злонамерен джейлбрейк ощипване или плъгин. Също така се посочва, че WooYun е уведомил доставчици - вероятно Apple - и очаква обработка.



Това със сигурност ще накара всеки потребител на iPhone с джейлбрейк да вземе под внимание, но преди да се разтревожите твърде много, разберете, че този хак няма нищо общо със сигурността на Apple и че изглежда има специални обстоятелства в случая на този пробив.

Изтекоха 220 000 iCloud акаунта на WooYun

Както сме виждали в не толкова далечното минало, нарушаването на идентификационните данни на iCloud може да има отрицателни резултати , защото ако двуфакторна автентификация не е активиран за акаунт, тогава човек, който притежава изтекли идентификационни данни, може да получи достъп до лични данни, включително имейли и снимки с относителна лекота.

Това наистина звучи ужасно, тъй като се твърди, че близо четвърт милион акаунта са компрометирани и знаем, че не всички от тези акаунти са приели разумния съвет за активиране на 2FA.

Кой е засегнат?

Когато започнете да разбивате фактите, изглежда, че този пробив е имал изключително ограничен обхват, ако има такъв, върху тези, които правят джейлбрейк на собствените си устройства. Това изключва повечето от тези, които живеят извън Китай и околните райони.

В доклада се посочва, че тези акаунти са били компрометирани в резултат на злонамерено освобождаване от затвора. Като просто направим някаква умствена математика, изглежда много малко вероятно който и да е настройка за джейлбрейк да получи необходимото количество проникване, за да засегне четвърт милион потребители, да не говорим за злонамерена настройка, публикувана в някакво съмнително репо на трета страна. Така че вероятността тази атака да е резултат от някое от настройките, които използваме в общността, е много малка.

При толкова голям брой компрометирани устройства изглежда, че подобна атака е резултат от по-организиран и методичен метод за влизане – предварително инсталирана задна врата, ако желаете.

Колега redditor, ЗипиДан , потребителят предложи следното предположение:

В азиатските страни е много обичайно хората да купуват телефони, нови или използвани, от технологичните пазари. На тези пазари има много конкуриращи се щандове за продажба на телефони и джейлбрейкването на вашия телефон и продажбата му с предварително инсталирани много джейлбрейкнати/пиратски приложения е част от тяхната услуга.

Това е част от причината, поради която джейлбрейкът / Pangu е толкова популярен в Азия / Китай. Има цели пазари само за китайски програми и приложения, на които не сме изложени в този субредит, доминиран от английски/западни страни.

Ние наистина не сме свикнали с такъв вид услуги на запад. Най-често просто купувате телефона си и го получавате чисто нов и чист от кутията и сте сами. Отчасти това е така, защото техническото ноу-хау е много по-скъпо в САЩ/Запада, а отчасти защото магазините за мобилни телефони са много по-разпръснати и има много по-малко конкуренция за предоставяне на този вид услуги. На азиатски технологичен пазар може да имате 30 – 100 различни магазина, всички конкуриращи се за вашия бизнес в район с размера на Walmart.

Както и да е, моята гледна точка е, че ако едно от тези „сенчести“ приложения е нещо, което е нещо обичайно за тези продавачи трети страни за инсталиране, тогава тази статистика няма да е толкова изненадваща. Не са необходими 220 000 души с лично техническо ноу-хау, за да направят джейлбрейк и да изтеглят ощипване: необходими са само 220 000 души, които купуват от няколкостотин/хиляда технологични бутикови магазини, които предварително зареждат софтуера.

За мен това има много повече смисъл, отколкото да имам някаква настройка за джейлбрейк, хоствана на някакво сенчесто репо на трета страна, което случайно стана достатъчно популярно, за да убеди четвърт милион опитни джейлбрейкъри да се изложат на риск.

Китайски iCloud хакнати акаунти

Екранни снимки, показващи някои от изтеклите идентификационни данни, които съдържат китайски имена

Да, има сенчести ощипвания, които направи го през пукнатините , за по-сигурно. Да, има злонамерени хранилища на трети страни, които хостват кракнат софтуер и вероятно също хостват злонамерени файлове. Да, джейлбрейкърите наистина се излагат на по-голям риск от тези, които не правят джейлбрейк.

Всичко това е вярно, но също така е много малко вероятно нещо от това да е било така при тази атака, ако пробивът наистина е резултат от злонамерена задна врата, както отбеляза WooYun.

Защитете се

Това не означава, че джейлбрейкърите като цяло не могат да отнемат нещо от това. Всички ние можем да се стремим да се справяме по-добре, когато става въпрос за сигурност. Ето някои от нещата, които всички трябва да правим, за да защитим себе си и другите:

  • Активиране на двуфакторно удостоверяване
  • Не добавяйте сенчести хранилища на трета страна към Cydia
  • Не пиратствайте настройки или приложения
  • Не инсталирайте ощипвания извън Cydia

Това може да звучи като основни неща, но като следва горния протокол, джейлбрейкърът може да смекчи голяма част от риска, свързан с джейлбрейка.

Какво мислите за този доклад? Движи ли иглата ви в някаква конкретна посока, що се отнася до вашето мнение за джейлбрейка? Прозвучете долу с вашите мисли по въпроса.

Актуализация: Имам надеждна информация, че това е засегнало само определени китайски потребители и е резултат от настройка за джейлбрейк, изтеглена от потребителя, а не предварително инсталирана, както се предположи по-горе. Очаквайте скоро повече подробности.