Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
https://lh4.googleusercontent.com/-V_iO22D0glQ/UU3HORvwLzI/AAAAAAAAD_4/d8PtscYeXsY/s800/apple-logo-man.jpg

Komoly hiba veszélyeztette az Apple felhasználóit

2013.03.23. 10.30
Az Apple csütörtökön kezdte el aktiválni a felhasználóknál a kétlépcsős azonosítást, amivel sokkal nehezebbé válik egy-egy felhasználói fiók feltörése. A dolog azonban annyira rosszul sült el, hogy mindegy lett volna, ha a felhasználók még jelszót sem használnak fiókjuk azonosításához.

Kiderült ugyanis, hogy az újonnan bevezetett, valamint opcionálisan be- és kikapcsolható szolgáltatás egy olyan hibát tartalmaz, aminek köszönhetően azok a fiókok, ahol nincs bekapcsolva a kétlépcsős azonosítás, könnyedén feltörhetővé válnak.

A hibát kihasználva a támadók teljes körű irányításra tehetnek szert a célpont fiókja felett. Lehetőségük van új jelszót választani, az áldozat bankkártyájával vásárolni az Apple App Store-ban, és a webes felületre eljutva akár az összes adatot letörölhetik az adott személy Apple eszközeiről, mindezt úgy, hogy az meg sem tudja akadályozni.

A biztonsági rés kihasználásához csupán a célszemély Apple ID-ként használt e-mail címét és születési dátumát kell ismerni. Ha az iForgot oldalon kicsit módosítunk az oldal URL-jét, elég az előbb említett két, számos esetben - főként a Facebooknak köszönhetően - meglehetősen nyilvánvaló adatot megadni és a rendszer máris kéri az új jelszavak megadását, mindezt úgy, hogy nem kéri a korábbiakat ellenőrzésképpen.

A cég viszonylag hamar értesült a problémáról és el is ismerték azt. Elérhetetlenné tették a jelszó visszaállító szolgáltatást, amíg ki nem javítják a hibát.

Frissítés: Az Apple időközben újra elérhetővé tette az iForgot szolgáltatást. Remélhetőleg maradéktalanul tudták a hibát javítani.