| 2 янв 2015 — 6:17 PT
Обновление: Поступают сообщения о том, что уязвимость была исправлена. Пользователи, пытающиеся использовать этот инструмент, теперь правильно блокируются после повторных попыток ввода пароля.
Новый инструмент, размещенный на GitHub, утверждает, что способен выполнять словарные атаки на любой учетной записи iCloud, по-видимому, обходя обнаружение ограничений скорости Apple, которые должны предотвращать подобные словарные атаки. В сентябре Apple сообщила, что закрыла одну такую лазейку, которая позволяла проводить атаки перебором.
Исходный код инструмента был выпущен на GitHub. При внимательном рассмотрении инструмент довольно примитивен по своей сложности. Он просто перебирает каждое слово из списка из 500 слов в качестве пароля для указанной учетной записи iCloud. Это означает, что хотя он и добьется «100% успеха» при 500 попытках, инструмент отнюдь не гарантирует взлом вашего пароля.
Любой пароль, который не является простым словом из словаря, представленного на этой странице, безопасен от этого «взлома». Тем не менее, уязвимости перебора очень важны, поскольку многие пользователи действительно используют простые словарные слова в качестве своих паролей. Более целеустремленные хакеры также могут использовать эту уязвимость для перебора гораздо более сложных паролей, так что угроза очень реальна. Например, хакеры с большими ресурсами могли бы использовать значительно больший список слов, чем тот, что размещен на GitHub.
Однако Apple должна иметь возможность быстро исправить эту лазейку. Это не сложный взлом — он, похоже, основан на имитации устройства iPhone. По какой-то причине серверы Apple позволяют такие запросы бесконечно, не блокируя попытки ввода пароля после нескольких запросов.
Приложение «Фото» для iCloud.com было удалено, хотя неясно, есть ли какая-либо связь. Печально известно, что в августе 2014 года информация из аккаунтов iCloud множества знаменитостей была украдена, что привело к публикации тысяч обнаженных и откровенных фотографий в Интернете.