Apple の「iPhone を探す」サービスの欠陥は、数百人の有名人の iCloud アカウントが侵害された攻撃の背後にある可能性があります。
Google ドキュメントに背景画像を追加
によって開発された概念実証 Python スクリプト ハックアプリ 17 人の有名な女性のヌード写真を含む数日前から iCloud がオンラインで流通していたのは、ブルート フォース攻撃のためです。ハンガーゲーム女優のジェニファー・ローレンスとスコット・ピルグリム主演女優のメアリー・E・ウィンステッドがオンラインに登場した - どうやら彼らのiCloudアカウントから盗まれたようだ.
ハッカーは、合計で 100 人以上の女性有名人の写真を持っていると主張しました。
このコードにより、攻撃者はロックアウトをトリガーしたり、ターゲットに警告したりすることなく、Find My iPhone を使用してパスワードを繰り返し推測することができるようです。
パスワードが発見されると、攻撃者はそれを使用して iCloud の他の領域にアクセスする可能性があります。
その後、Apple はこの穴にパッチを当てましたが、 Redditで行われている主張 パッチが特定の地域でのみ有効であること。
ただし、セキュリティ研究者の Graham Cluley は、これが短期間に検出されずに多数のアカウントに対してうまく使用できたとは信じがたいと主張しています。
クルーリーと他の研究者が提案したもう 1 つのオプションは、攻撃の被害者が簡単に推測できるパスワードまたはパスワード リセットの答えを持っていたというものです。
多くのサイトでは、「パスワードを忘れた」というオプションを提供するか、身元を証明するために「秘密の質問」に答えることで困難を乗り越えるように求めている、と Cluley 氏は述べています。
しかし、有名人の場合、最初のペットの名前や母親の旧姓を簡単な Google 検索で特定するのは特に簡単かもしれない、と彼は付け加えました。
トレンドマイクロのセキュリティ研究者、Rik Ferguson 氏は次のように述べています。 また言った Apple の iCloud が大規模に「ハッキング」される可能性は低く、元の投稿者でさえそうであると主張していなかったことを指摘しています。
彼は、クルーリーと同様に、攻撃者が、被害者が iCloud に使用していたメール アドレスを既に知っていて、それにアクセスできる場合、「パスワードを忘れた」リンクを使用した可能性があることを示唆しました。彼はまた、問題の有名人がフィッシング攻撃の犠牲になった可能性があることも示唆しました。
Twitterの反応と法的脅迫
写真は最初は 4chan でリークされましたが、特にジェニファー・ローレンスの写真が Twitter に表示されるまでにそれほど時間はかかりませんでした。
約 2 時間以内に、Twitter は盗まれた写真を公開したすべてのアカウントの停止を開始しましたが、 からのタイムラインによると鏡 、ソーシャル ネットワークはモグラたたきゲームをしており、活動を開始してから 1 時間以上も新しい写真が表示され続けました。
メアリー・E・ウィンステッドは、写真を公開した人物と写真を閲覧していた人物の両方に呼びかけるため、自らツイッターに投稿した.
私が何年も前に私たちの家のプライバシーで夫と一緒に撮った写真をご覧になっている皆さん、ご機嫌な気持ちになれますように。
— メアリー・E・ウィンステッド (@M_E_Winstead) 2014 年 8 月 31 日
しかし、彼女は、受け取っていた虐待的なメッセージから逃れるために、最終的にプラットフォームから撤退する必要がありました。
インターネット休憩に入ります。 Twitter で何かについて話す女性になるとはどういうことかを垣間見るために、私の @ に気軽にアクセスしてください。
フォートナイトのユーザー名を変更する方法
— メアリー・E・ウィンステッド (@M_E_Winstead) 2014 年 9 月 1 日
ジェニファー・ローレンスの広報担当者は、写真を配布した人物に対して法的措置を講じるとすでに述べています。
これは重大なプライバシーの侵害です。当局は連絡を受けており、ジェニファー・ローレンスの盗まれた写真を投稿した人は誰でも起訴する予定だと述べた.
2011 年には、スカーレット・ヨハンソンやクリスティーナ・アギレラを含む 50 人の有名人の電子メールがハッキングされ、ヌード写真が盗まれ、公に拡散されたときにも同様の措置が取られました。
FBIの捜査の結果、フロリダ州ジャクソンビルの犯人であるクリストファー・チェイニーは、10年の懲役を言い渡された。
セキュリティ対策
レイ トレーシング マインクラフトをオンにする方法
非有名人は、有名人のヌード写真をそれほど広く配布する可能性は低いですが、それは可能であり、今でも起こります。
セキュリティの専門家は、この事件は、あらゆるオンライン サービスに効果的なセキュリティ対策を講じることの重要性を思い出させるものであり、ユーザーがクラウドにアップロードされるものに注意を払うよう促すものであると述べています。
今日のデバイスはそれぞれのクラウド サービスにデータをプッシュすることに非常に熱心であるため、機密メディアが Web や他のペアリングされたデバイスに自動的にアップロードされないように注意する必要があります。PC プロ。
Ferguson 氏は、攻撃の犠牲になった人々が、Apple がユーザーの iPhone または iPad Photo Stream 内の写真を自動的に iCloud に同期することを忘れていたか、気付かなかった可能性があると示唆しました。
この場合、被害者の中には、携帯電話から写真を削除するだけで十分だと考えた人がいたようだ、と彼は言った.
ボイド氏とファーガソン氏は、クラウド サービスに保存されているデータのバックアップまたはシャドウ コピーを作成するかどうか、またその方法、およびそれらを管理する方法を見つけることを推奨しています。
Kaspersky Lab のセキュリティ研究者である Stefano Ortolani 氏は、ユーザーがクラウドに保存されているデータを自由に選択し、自動同期を無効にすることも推奨しています。
また、インターネットに常時接続されているスマートフォンは、ヌード写真を撮るのに最適な場所ではないと主張することもできます.
PC プロは、Apple に連絡して、同社が iCloud サービスの大規模なハッキングを認識しているかどうかを尋ねましたが、この記事の公開時点では返答がありませんでした。