МнениеЯблоко

Apple нужно добавить 2FA, чтобы найти мой iPhone

Apple не применяет двухфакторную аутентификацию (2FA) (которая требует от вас предоставления дополнительного удостоверения личности) ко всем своим службам iCloud. Из-за этой оплошности незнакомец может легко стереть данные с вашего iPhone, Mac или iPad. Один студент усвоил это на собственном горьком опыте, когда какой-то никчемный злодей (-ы) чуть не использовал недостаток против него.

Капил Хареш Виньесварен, аспирант Университета Ватерлоо в Канаде, оказался в эпицентре такой атаки, когда обнаружил, что кто-то использует функцию «Найти iPhone» от Apple, чтобы позвонить на его устройство и заблокировать его, активировав режим пропажи.

В сообщении в блоге Капил подробно описал атаку, которая продолжалась с затемнением экрана его iPhone и выводом сообщения: «Эй, почему ты заблокировал мой iPhone, ха-ха. Позвони мне по телефону (123) 456–7890». Злоумышленник, вероятно, хотел позвонить, чтобы получить выкуп наличными у Капила, но Капил так и не набрал номер.

БОЛЬШЕ: Лучшие антивирусные приложения для Android — программное обеспечение для обеспечения безопасности мобильных устройств

Поскольку Капил понял, что злоумышленник воспользовался функцией «Найти iPhone», Капил немедленно отключил свой iPhone и MacBook Pro, чтобы злоумышленник не смог отформатировать продукты Apple. После того, как Капил изменил свои пароли и снова подключил свои устройства к сети, он обнаружил ожидающие запросы на удаление как для своего телефона, так и для ноутбука, которые было легко отклонить.

Что прискорбно в этом обстоятельстве, так это то, что Капил предпринял один из самых ответственных шагов, которые может предпринять пользователь: он включил двухфакторную аутентификацию для своей учетной записи iCloud после печально известного убер-хака Мэта Хонана . Но оказывается, что реализация Apple 2FA не распространяется на настройки «Найти iPhone», Apple Pay или Apple Watch, поскольку эти параметры появляются в нижней части экрана после ввода имени пользователя и пароля учетной записи.

Мы поговорили с Капилом, и хотя он не может точно определить, как злоумышленник получил доступ к его имени пользователя и паролю, он сказал нам, что он не одинок. Другой пользователь утверждал, что получил доступ к своей учетной записи iCloud, несмотря на «использование совершенно случайного пароля», который не был переработан для других учетных записей.

Если Apple не найдет способ ограничить функцию «Найти телефон» только владельцами устройств, она продолжит подвергать опасности данные и конфиденциальность своих пользователей.

Некоторые могут возразить, что Find My iPhone не должен требовать второго уровня аутентификации, поскольку пропавший iPhone нельзя использовать для получения отправленного кода. Однако это недостаточно хороший аргумент, поскольку текущая реализация дает слишком много возможностей любому, кто вычислил ваш Apple ID и пароль. Именно здесь могут оказаться полезными контрольные вопросы и ответы, которые Apple удаляет при настройке 2FA.

Apple также могла заблокировать злоумышленника, отслеживая устройства и геолокации. Капил использовал подпись в нижней части Find My iPhone, чтобы выяснить, что атака была совершена из Ирландии — довольно далеко от обычного местоположения его телефона в Онтарио, Канада. Кроме того, электронные письма, отправленные Капилу, показывают, что запрос был отправлен с компьютера с Windows, что могло вызвать еще один тревожный сигнал, поскольку он чаще всего входит в систему с компьютеров Mac.

Другая непреднамеренная проблема отсутствия ограничения доступа к программе «Найти iPhone» с помощью 2FA заключается в том, что злоумышленники могут видеть, где вы находитесь (при условии, что вы владеете устройством). Конечно, это предполагаемый эффект «Найти мой iPhone», но он также дал противнику Капила его точное географическое местоположение. Если Apple не найдет способ ограничить функцию «Найти телефон» только владельцами устройств, она продолжит подвергать опасности данные и конфиденциальность своих пользователей.

А пока наш лучший совет прост: используйте сложные, трудно угадываемые пароли и следите за подозрительными сообщениями на дисплее вашего iPhone.

Мы связались с Apple, но компания отказалась от комментариев.

Похожие посты
ИгрыМнение

Новый мир Amazon — страна упущенных возможностей

МнениеЯблоко

Почему iOS 11 заставила меня обновить свой iPhone

МнениеПотоковое

Орвилл отстой, и я собираюсь продолжать смотреть его

ИгрыМнение

Zelda: Skyward Sword HD стоит второго шанса — если вы отключите управление движением

Sign up for our Newsletter and
stay informed
[mc4wp_form id="14"]

Добавить комментарий

Ваш адрес email не будет опубликован.