В системе двухшаговой аутентификации iCloud была найдена уязвимость

Один специалист по безопасности обнаружил уязвимость в двухшаговой системе аутентификации iCloud. Уязвимость позволяла хакерам взламывать учётную запись, зная только номер телефона жертвы. На данный момент уязвимость исправили, и такой возможности больше нет.

apple-icloud-vulnerability-2fa

Специалист команды Zero Hack смог взломать учётную запись iCloud, используя технику «race hazard-based brute forcing». Она немного отличается от стандартной. Хакер использовал уязвимость и отправил несколько запросов на сброс пароля.

Обычно компании защищаются от данной техники, ограничивая число запросов на сброс пароля от одного пользователя. У Apple доступно максимум 5 попыток, после чего учётная запись блокируется на несколько часов. Однако хакер отправлял запросы с разных IP-адресов, и ему удалось обмануть систему и всё-таки взломать учётную запись.

Если вы знаете номер телефона пользователя, то можете подобрать и 6-значный код для сброса пароля. Однако после шести неудачных попыток Apple блокирует IP-адрес.

Хакер сообщил Apple об уязвимости в июне 2020 года, на что компания ответила ему, что способ работает лишь с теми учётными записями, которые не были привязаны к iPhone, Mac или iPad. К тому же, не все могут использовать по 28000 IP-адресов. Компания назвала уязвимость незначительной.

В апреле 2021 вышло обновление с исправлением данной уязвимости. Apple предложила хакеру 18000 долларов в награду, но он отказался, назвав сделку нечестной, поскольку проблема была гораздо значительнее.

Оцените пост
[всего: 0 рейтинг: 0]

Комментарии

Добавить комментарий