BEDRIFTSTEKNOLOGI

– Apple visste om iCloud-hull

Sikkerhetsekspert advarte for et halvt år siden.

iCloud skal nå være sikrere, men kunne mer ha blitt gjort tidligere?
iCloud skal nå være sikrere, men kunne mer ha blitt gjort tidligere? Bilde: Skjermbilde
26. sep. 2014 - 10:11

Det har blitt skrevet mye om det nylige innbruddet i iCloud-tjenesten til Apple, der en lang rekke kjendisbilder ble lekket ut til deres store forargelse. Mistanken rettet seg mot et «brute force»-angrep der uvedkommende forsøkte å overvelde iCloud-påloggingen med et stort antall passord, frem til man til slutt kom seg inn.

Bildelekkasjene førte til FBI-etterforskning, og Apple selv uttalte at iCloud skal sikres ytterligere, blant annet med mer omfattende tostegs-verifisering og epost-varslinger. Disse tiltakene er nå rullet ut.

Det kan imidlertid hende at Apple visste om sikkerhetshullet allerede så tidlig som mars i år, ifølge en sikkerhetsforsker (via The Daily Dot).

Utvikleren, Ibrahim Balic, skal ha sagt i fra til Apple om sine funn allerede da. Balic sendte en epost til Apple den 26. mars om at han hadde oppdaget en måte å forbigå sikkerheten på. Apples sikkerhet skulle beskytte mot nettopp brute force-angrep, men Balic informerte selskapet at han hadde klart å forsøke 20,000 passord-kombinasjoner på flere kontoer, med hell.

Balic meldte også inn feilen via et skjema for å sende inn feil.

Senere, i mai i år, skal Apple ha etterlyst mer informasjon om problemet, som tydeligvis ikke hadde blitt løst.

Først nå i september ble det altså mye oppmerksomhet rundt denne typen angrep - selv om det ikke er garantert at bildelekkasjene kom via det samme sikkerhetshullet.

Det var ikke første gangen Balic hadde meldt inn sikkerhetsfeil til Apple: Sommeren 2013 hadde han identifisert et hull i Apple Developer Center, noe som førte at den aktuelle nettsiden ble øyeblikkelig tatt ned. Han hadde imidlertid ikke blitt kredittert for oppdagelsen før han gikk offentlig ut med informasjonen.

Selv om sikkerheten til iCloud er blitt merkbart skjerpet siden skandalen, er det fortsatt en del som gjenstår. F-secure påpeker blant annet hvor enkelt det er å gjette seg frem til sikkerhetsspørsmål som skal brukes hvis man har glemt passordet. Spørsmålene er veldig grunnleggende, og svarene kan kjapt finnes ut av, spesielt hvis man er ute etter kjendis-kontoer - mye personlig informasjon om kjente mennesker kan jo finnes ut relativt enkelt.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.