Обнаружена уязвимость сервиса iCloud

Запрет на активацию (Activation Lock) является частью сервиса Find My iPhone (рус. «Найти iPhone») и используется для приведения в негодность потерянных или украденных iOS-устройств. Уязвимость облачного сервиса iCloud позволяет перехватывать пользовательские данные Apple ID и вскрывать iOS-устройства, которые были дистанционно отключены этим методом. Об этом хакерский дуэт Team DoulCi (прочитайте название задом наперед) заявил 20 мая голландскому сайту tweakers.net. Для вскрытия устройства достаточно подключить iPhone или iPad к ПК, изменить один файл и заставить устройство обратиться к фальшивому серверу iCloud.

Сами хакеры подробностями эксплойта не делятся. В качестве доказательства успешного взлома приводятся скриншоты обращений в службу активации iCloud. Видео успешной атаки пока нет. Но пользователи Twitter уже вскрывают свои устройства по методу AquaXetine и MerrukTechnolog (под такими псевдонимами выступают хакеры). Пока что реанимированные iPhone работают без сотовой связи — но к пятнице хакеры обещают добавить метод активации SIM-карты.

Хак стал возможен благодаря тому, что Windows-версия iTunes не проверяет должным образом сертификаты безопасности. Об этом сообщил голландский эксперт по безопасности Марк Ломан из занимающегося вопросами сетевой безопасности стартапа SurfRight. Подобная уязвимость iOS и OS X-версий iTunes была недавно устранена Apple, но дыра в ПК-версии осталась. Впрочем, в словах Ломана стоит усомниться: далее эксперт уверяет, что такая ошибка могла быть «допущена либо полным новичком, либо специально». По мнению Ломана, Apple могла специально оставить дыру в iCloud, чтобы облегчить спецслужбам доступ к личным данным пользователей (ох... — ред.). Пока Apple не отреагирует патчем, iCloud не стоит пользоваться в публичных Wi-Fi сетях.

Читайте о мобильных приложениях в нашем разделе APPS. Новые материалы — каждый день.