Хакеры взломали защиту Apple


Хакеры сделали веб-портал, на котором обладатель отысканного либо украденного iPhone либо iPad может обойти защиту Activation Lock и реализовать устройство на вторичном рынке. Для обхода защиты была применена уязвимость, которую Apple убрала не во всех собственных продуктах.

Хакеры под ником AquaXetine из Нидерландов и MerrukTechnolog из Марокко объявили об успешном взломе системы активации мобильных устройств Apple, докладывает De Telegraaf.

А именно, они отыскали метод обхода Activation Lock. Эта разработка позволяет дистанционно заблокировать доступ к утерянному либо похищенному телефону либо планшету, лишая нового обладателя устройства выгоды от его реализации.

Разработка Activation Lock работает только тогда, когда юзер включил функцию «Найти iPhone» либо «Найти iPad». Человек, нашедший устройство, либо вор не сумеют отключить ее, пока не введут пароль от учетной записи Apple ID обладателя.

Сейчас же благодаря специальному веб-сайту, разработанному взломщиками (doulci.net), хоть какой может дать «вторую жизнь мобильному устройству Apple».

Используя разработанный способ, говорят AquaXetine и MerrukTechnolog, они посодействовали разблокировать около 30 тыс. iPhone за некоторое количество дней. По их словам, они еще в марте известили Apple об ошибке, но та проигнорировала эту информацию.

Чтоб взломать защиту, хакеры пользовались атакой типа «человек посередине» (Man in the Middle, MitM), научившись перехватывать сигналы, идущие с мобильного устройства на серверы Apple iCloud и в оборотном направлении.

На исследование сигналов ушло около 5 месяцев. В итоге хакеры научились заменять команды от серверов iCloud командами с ПК с установленным на их особым программным обеспечением. iPhone задумывается, что связывается с сервером, но по сути сервером является подставной компьютер.

Хакеры не поведали тщательно, каким образом работает вся схема. Вероятнее всего, они эксплуатируют ошибку в технологии шифрования SSL, представил спец по безопасности Марк Ломан (Mark Loman). Эта уязвимость не так давно была закрыта в iOS 7.0.6 и в iTunes для Mac (в обновлении OS X 10.9.2), но, по всей видимости, сохранилась в Windows-версии приложения iTunes, которое и употребляют хакеры, считает эксперт.

«Проблема заключается в верификации сертификата. Похоже, что Apple сознательно отказалась от этого принципиального шага для обеспечения неопасного соединения, — откомментировал Ломан. — В прошедшем месяце компания поправила это упущение в iOS, но забыла выпустить патч для iTunes».

Меж тем, один из взломщиков в собственном Twitter опроверг информацию о том, что они обходили защиту SSL.


Copyright © 2018 Коипьютерный блог.