| 14 янв 2015 — 5:50 утра по тихоокеанскому времени
[youtube=https://www.youtube.com/watch?v=IKKZfZUqk3I]
Спустя более четырех месяцев после того, как Тим Кук пообещал уведомления о входе по электронной почте и повторное введение двухфакторной аутентификации после резонансных взломов iCloud со знаменитостями, пять входов в Apple остаются незащищенными этой системой. Основатель Hackers of NY Дэни Грант использовал видео, чтобы продемонстрировать каждую уязвимость в посте в блоге.
Грант показал, что двухфакторная аутентификация не требуется при использовании неизвестного Mac для входа в iMessage, iTunes, FaceTime, App Store или на веб-сайт Apple. По словам Грант, только одна из пяти служб отправила уведомление по электронной почте о том, что неизвестное устройство использовалось для входа…
FaceTime была единственной службой, для которой Apple отправила уведомление по электронной почте, сказал Грант:
Следует отметить, что аналогичные сообщения ранее отправлялись Apple и для iMessage, хотя такая же защита в настоящее время не предлагается iTunes, App Store и веб-сайтом Apple.
Хотя «взломы» iCloud не включали никакого компрометирования самой службы, а вместо этого полагались на комбинацию фишинга и легко угадываемых паролей или секретных вопросов, это привлекло внимание к рискам для технически неосведомленных пользователей (особенно для знаменитостей, которые вынуждены выбирать из ограниченного числа секретных вопросов, ответы на которые можно легко найти).
Apple кратко представила двухфакторную аутентификацию для iCloud.com в июне прошлого года, прежде чем вернуть ее вскоре после скандала. Но, как показывает Грант, другие службы Apple остаются уязвимыми.
Посмотрите остальные видеодемонстрации на Medium.