Apple: iCloud niet gehackt tijdens recente aanval
De aanvaller die van tientallen Apple-gebruikers de iPhones en iPads voor losgeld wist te gijzelen heeft geen beveiligingslek in iCloud gebruikt, zo heeft Apple laten weten. Verschillende Australische Apple-gebruikers konden niet meer op hun toestel inloggen omdat het apparaat vergrendeld was.
Een melding op het scherm liet weten dat ze 100 dollar moesten betalen om weer toegang te krijgen. Hoewel Apple geen details geeft over hoe de aanval heeft kunnen plaatsvinden, wordt aangenomen dat de aanvaller toegang tot de iCloud-inloggegevens van gebruikers wist te krijgen, mogelijk omdat ze die ook voor andere websites gebruikten. Eenmaal ingelogd op iCloud gebruikte de aanvaller Find My iPhone om het toestel als verloren op te geven en een nieuwe code in te stellen.
"Apple neemt security zeer serieus en iCloud is tijdens dit incident niet gecompromitteerd geweest. Getroffen gebruikers moeten hun Apple ID-wachtwoord zo snel als mogelijk wijzigen en niet voor meerdere websites dezelfde gebruikersnaam en wachtwoord gebruiken", aldus een verklaring van Apple tegenover ZDnet.
De opmerking van Apple is bij sommige gebruikers in het verkeerde keelgat geschoten, die op het Apple-forum klagen dat ze de inloggegevens voor hun Apple ID nergens anders gebruikten. Ook vermoeden sommige gebruikers dat vanwege het grote aantal gekaapte toestellen de aanvallers een script gebruikten.
Eén gebruiker stelt zelfs dat de toestellen van hem die vergrendeld waren niet aan een Apple ID waren gekoppeld. Daarbij viel op dat de aanvallers alleen in Australië gekochte toestellen vergrendelden, terwijl de toestellen die hij in de VS had gekocht niet waren gecompromitteerd. Naast Australische gebruikers zijn er echter ook meldingen van getroffen Canadese en Amerikaanse gebruikers online verschenen.
Doulci iCloud ByPass
http://doulci.net/#crew
iCloud Activation Lock Allegedly Bypassed By 'doulCi' Hacker Team
http://gadgets.ndtv.com/mobiles/news/icloud-activation-lock-allegedly-bypassed-by-doulci-hacker-team-528915
Weinig accurate samenvatting, nogal suggestief.
Heb je in je onderzoekje meegenomen hoe die gegevens verkregen zijn en of Apple daar wat aan kan doen?
De suggestie is dat deze gegevens van een Hack bij Apple afkomstig zijn.
De mogelijkheden die op dit moment worden genoemd en bekeken spitsen zich toe op mogelijk gehackte providers, (email accounts of dns aanpassingen), wifi misbruik bij getroffen gebruikers, het hebben van passwords die voor meerdere accounts gebruikt worden als Ebay/Adobe/etc.
Nog wat onderbelicht blijft helaas de link met de ontdekte kwetsbaarheden voor iTunes Windows en de 'reset service' van wat Hollandse ondernemende jongens betreffende iPads en iPhones zoals dat in het nieuws kwam een week geleden.
Voor misbruik van deze devices is het zaak een iTunes store verbinding te onderscheppen.
Wat had gekund via openbare wifi spot.
Of,
een voor eeuwig (ha! zolang gaan apple devices ook weer niet mee) kwetsbaar blijvende groep gebruikers die hun IOS niet kunnen upgraden naar de laatste versie. Dan hebben we het geloof ik over iPad 1 gebruikers en gebruikers van iPhone 3 en eerder.
Die zijn al een paar jaartjes oud, zou het glas nog heel zijn? ;-)
Daarnaast zal er nog een restje gebruikers zijn van nieuwere devices die wel het nieuwste IOS kunnen draaien maar om wat voor reden dan ook hun updates niet hebben binnengehaald. Over het algemeen is het update percentage onder IOS gebruikers (geloof ik) buitengewoon hoog wat omgekeerd betekent dat er relatief weinig gebruikers zijn die hun devices niet updaten.
Wat mij betreft, ik volg het met een zekere interesse, blijft die technische en softwarematige specificatie wat onderbelicht in de discussies waaronder die op de apple support community, dus een specifiek inzicht in de technische specificaties van de IOS devices.
Die worden nauwelijks opgegeven.
Dat gebrek aan inzicht is dus jammer want dan zou daaruit kunnen blijken of het gaat om mogelijke kwetsbaarheden in het eco-systeem van oudere IOS-en van Apple zelf. Dus of het nu gaat om relatief veel gebruikers van oudere devices.
Er zitten echter ook gebruikers tussen met nieuwere devices, waarbij het dan weer lijkt dat deze niet altijd zijn geüpdatet (maar was deze gebruiker ook getroffen?) naar het meest recente IOS.
Een duidelijk beeld is er niet, helaas.
- Wat is het probleem?
Dat weten we nog niet.
- Waar zou het probleem kunnen liggen?
* Bij gebruikers zelf, wachtwoordbeheer, social engineering, niet updaten of niet upgraden
* Bij Providers, hacked
* Misbruik via openbare wifi, onderscheppen van communicatie en omleiden naar eigen nep iTunes server om passwords te bemachtigen
* Misbruik via verstuurde social engineering mails om accountgegevens te bemachtigen
* Bij Apple dat oudere kwetsbare IOS versies niet met terugwerkende kracht heeft geüpdatet. Mogelijk hack probleem van iCloud is met het (vrij zeldzame) mediastatement ontkend. Laten we dat dan eerst voor waar aannemen en andere mogelijkheden onderzoeken.
- Is dat met terugwerkende kracht updaten van IOS / OSX normaal om te doen?
Nee dat doet vrijwel geen enkel bedrijf. Support is eindig. Bij de één wat sneller dan bij de ander (heb daar ook wel eens de balen van gehad, het is niet anders).
- Zou het mooi zijn als bedrijven dat wel doen zodat oudere devices die een ouder OS moeten draaien met terugwerkende kracht voor nieuwe dreigingen beschermd zouden worden?
Ja zeker!
- Is dat vanuit marketshare of economisch point of view een zinnig of aantrekkelijk idee?
Meestal niet.
- Gebeurt het daarom waarschijnlijk niet?
Zou heel goed kunnen en daarom weinig zinvol steeds maar weer als argument uit de kast te trekken.
Interessante puzzel, of je nou wel of geen Apple device hebt, wel of geen gebruiker bent.
Denk niet dat het bewust beleid van Apple is om de nsa een handje te helpen, gelukkig horen we dat kolder argument in ieder geval niet meer.
Voor de (werkelijk) geïnteresseerden kan ik naast de apple community link ook deze aanbevelen waar dit op de voet gevolgd wordt, beheerder van deze site neemt overigens ook ruim deel als poster op de apple support communities :
http://www.thesafemac.com/australians-getting-locked-out-of-ios-devices/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
