Yazılar

Apple iCloud şifreleri tekrar tehlikede

apple-icloud-sifreleri-tekrar-tehlikedeYeni yayınlanan bir araç yardımıyla herhangi bir iCloud hesabının şifresini kırmak mümkün.

Bu yeni aracın adı iDict. Yaptığı şey ise iCloud hesaplarına brute force yöntemi ile saldırmak. Fakat onu diğerlerinden ayıran özellik Apple’ın ünlülerin özel fotoğraflarının sızdırılmasından sonra sisteme uyguladığı brute force engellemelerini atlatabiliyor olması.

Github üzerine yüklenen araç şu anda serbestçe indirilebiliyor. Aracı yükleyen Pr0x13 kullanıcısı ise bu zayıflığın kapalı bir çevrede bir süredir bilindiğini ve kullanıldığını, kendisinin ise bunu bu araç yardımıyla açıkladığını söylüyor. İşin ilginç kısmı iDict sadece Apple’ın koyduğu brute force korumaları değil, aynı zamanda Apple’ın çift aşamalı doğrulama sistemini de atlatabiliyor.

iDict kendi içerisinde 500 kelimelik temel bir wordlist ile geliyor. Fakat dışarıdan farklı dil, ülke, kültürlere göre wordlist yüklemek mümkün. Çift aşamalı doğrulamaya da güvenemediğimiz bu aşamada en doğrusu iyi şifreler seçip, olabildiğince iCloud e-posta adresimizi paylaşmayarak hesabımızı güvende tutmak.

apple-icloud-sifreleri-tekrar-tehlikede-2

Apple iCloud sızıntısı hakkında herşey

apple-icloud-sizintisi-hakkinda-herseyTüm dünya geçtiğimiz haftaki iCloud’dan sızan fotoğraflarla çalkalandı. Yaklaşık 100 kadar ünlünün özel fotoğrafları internette yayınladı. Peki bu saldırı nasıl ve hangi teknikler kullanılarak gerçekleştirilmişti?

Fotoğrafları sızdırılanlar arasında Kate Upton, Jennifer Lawrance, Kim Kardashian, Kirsten Dunst, Bar Rafaeli gibi 100 ünlü bulunuyordu. iCloud’dan sızdırılan bu fotoğraflara sebep olan bölüm ise “Find My iPhone” olarak adlandırılan bölüm. Find My iPhone kısmına web üzerinden eriştiğinizde doğal olarak belirli sayıda şifre denemesine izin veriliyor. Fakat Find My iPhone API’si üzerinden yapılan başarısız şifre denemelerinde ise herhangi bir kısıtlama yok.

İşte tam bu noktada adına iBrute denlien araç karşımıza çıkıyor. Bu araç bir süredir Github üzerinden dağıtılmakta. İndirenler Find My iPhone API’si üzerinden brute force yoluyla deneyip yanılarak şifre tahmini yapıyordu.

Denenen şifreler ise bugüne kadar hacklenen diğer web sitelerinden sızdırılan şifrelerin Apple’ın şifre politikasına uyanlarıydı. Apple şifre seçerken 8 karakter uzunluğunda olmasını, üçten fazla ard arda rakamlar olmamasını, içerisinde rakam, büyük harf ve küçük harf olmasını şart koşuyor. Bu basit şifrelerin sıralandığı listede; Password1, Princess1, P@ssw0rd, Passw0rd, Michael1 gibi kurallara uyan ama zayıf şifreler yer alıyordu.

Bu basit ama Apple’ın şifre kısmında kabul gören kombinasyonları deneyenler yaklaşık 100 kadar ünlünün iCloud hesabında bulunan mahrem fotoğraf ve bilgilere ulaşabildiler. Apple kısa süre önce bir apple-icloud-sizintisi-hakkinda-hersey-2dizi değişiklik yaparak artık iCloud’da bulunan veriler indirildiğinde veya kayıtlı olmayan bir cihazdan ulaşıldığında uyarı verecek şekilde yapılandırdı. Apple her ne kadar suçu olmadığını savunsa da sessiz sedasız Find My iPhone API’sine de hatalı şifre denemelerine karşı önlem aldı.

Bir diğer konuşulan olasılıktan da bahsetmemek olmaz. Fotoğrafların Bitcoin karşılığı satıldığ 4Chan’de bir süredir gizli bir grup kişinin fotoğraf değiş tokuşu yaptığına dair bilgiler yer alıyor. Bu grup ünlülerin hackledikleri telefonlarından, maillerinden veya bilgisayarlarından elde ettikleri fotoğrafları birbirleriyle değiş tokuş ediyorlardı. Bu gruba katılmak için ise elinde bir ünlünün daha önce yayınlanmamış fotoğrafı olması yeterli olduğu söylenmekte. Yine savunulan diğer bir tez bu grupta dolaşan fotoğrafların da bu sızıntıyla birlikte internette yayılmaya başladığı.

Hangi senaryo gerçekleşirse gerçekleşsin bulut bilişim üzerinde dönen kara bulutlar, verinin güvenli şekilde dolaşımının sağlanması ve kişisel mahremiyet konuları bu olay sayesinde önümüzdeki aylarda daha da öne çıkacak.