ニュース

iCloudのアカウントに侵入するためにハッカーが使った驚くほど単純なトリック。

FavoriteLoadingお気に入りに登録

9月1日に報じられ、世界中を驚かせたiCloudのハッキングと有名人のヌード写真が流出した出来事は、ひどく単純なテクニックによるものだということが明らかになった。
Business Insiderはその手口を伝えている。
元記事:http://www.businessinsider.com/how-hackers-get-into-your-apple-icloud-account-2014-9

クック

iCloudのハッカーたちはもう何年も前から、iCloudアカウントからメールアドレスを特定する簡単な方法を知っていた。
メールアドレスを見つけることぐらい、たいしたことではないと思うかもしれないが、ひとたびiCloudハッカーにアカウントのメールアドレスを知られようものなら、そのアカウントを使っているすべてのサイトにアクセスすることも、写真のバックアップへ侵入することも、ほんの一息のことなのである。

iCloudのハッカーがターゲットを見つけたとする。
彼らはまずはiCloudアカウントのログイン情報をさがすことにとりかかる。
最初のステップは、使用されているメールアドレスの特定である。
多くの場合、ハッカーたちはターゲットが使う可能性のあるメールアドレスのいくつかを用意しているだろう。
そのためにAppleはヌード写真を流出させた初心者ハッカーに、簡単に侵入を許したのである。
Appleはユーザーが驚くべき速さでメールアドレスのテストをすることを、無制限に許したのである。

ハッカーはポルノサイト、AnonIBで、どうやってAppleの「アカウントをつくる」のページを使ったかを説明した。大量のメールアドレスの可能性があるものを使って、チェック機能を通過するのである。
ハッカーがすることといえば、ただメールアドレス記載欄に、可能性のあるアドレスを入力するだけだ。
すると、AppleはすぐにiCloudのアカウントに接続できるかどうかを表示してくれる。
そのほかの欄には何も記載する必要はなく、しかもAppleはメールアドレスで侵入を試みる回数に制限を設けていなかったのである。

Appleはユーザーにすぐ、メールアドレスがiCloudアカウントにリンクされるかどうかを教えてくれる

hackers1

"Be available(利用できます)"の横にある赤いドットは、このメールアドレスが、あるiCloudのアカウントとして使用されていることを示している。

hackers2

AnonIBの iCloudハッカーのひとりが匿名で説明してくれた。

「入力すると、3つのことがわかる。
ひとつ目は、それが有効なメールアドレスだということ、三つ目が、いまは使われていないということ。そうして二つ目が、あれ、忘れちゃった。ま、いっかww
もし緑のドットで'currently in use'(現在、使用可能)と出たら、それは使われていないということだ。
だから赤いドットが出たら、ピンポーン! つまり、今まさに使われてるってことだから」

ハッカーたちはメールアドレスがiCloudのアカウントになっていることを示す赤いドットが出るまで、可能性のあるメールアドレスを試し続ける。
そこから彼らはパスワードを解読するか、アカウント保護のために使用されている項目を推測するプロセスを開始する。

最初のテストはターゲットの誕生日を入力することである。これは有名人なら簡単に探せる。

hackers3

最後のステップは、セキュリティの質問に答えることである。有名人なら、情報はオンラインで簡単に探し出せる。

hackers4

Appleはすでに、ログインデータを発見しようとする試みに用いられる可能性のある方法に対して、取り締まりを強化している。
9月1日、Appleはハッカーたちが使用した、アカウントのために何千もの潜在的パスワードをテストするために利用した「iPhoneを探す」機能に対して、ロシアのセキュリティ研究者が開発したパッチで修復をおこなった。

だが、AppleがiCloudのアカウントに侵入を試みるハッカーたちを閉め出すためには、登録プロセスや、iForgotシステムの変更など、まだやらなければならないことがある。
iCloudハッカーによって公開で討議されたテクニックは、AnonIBのようなパブリック・フォーラムで閲覧することができる。

FavoriteLoadingお気に入りに登録

-ニュース