온드레이 홀츠만 9월 초, Apple은 매우 불쾌한 문제를 해결했습니다. 민감한 사진 유출로 유명 연예인의 iCloud 계정에서. 네빌라 비록 서비스 자체가 깨졌음에도 불구하고 Apple은 비밀번호를 무한정 입력할 수 있다는 형태로 취약점을 피할 수 있었습니다. 런던의 보안 전문가인 Ibrahim Balic의 말을 들어보세요.
런던에 본사를 둔 보안 연구원 Balic은 해커들이 실제로 iCloud의 약점을 발견하기 훨씬 전에 잠재적인 문제를 Apple에 알렸습니다. 그들은 이용했다. 포장 기계 데일리닷에 따르면 Apple은 지난 3월에 이를 알리고 이메일을 통해 보안 문제를 정확하게 설명했습니다.
26월 XNUMX일 Apple 직원에게 보낸 이메일에서 Balic은 다음과 같이 썼습니다.
Apple 계정과 관련된 새로운 문제를 발견했습니다. 무차별 대입 공격을 사용하면 어느 계정에서든 비밀번호를 입력하려고 2만 번 이상 시도할 수 있습니다. 여기에는 제한이 적용되어야 한다고 생각합니다. 스크린샷을 첨부하고 있습니다. Google에서 동일한 문제를 발견하고 답변을 받았습니다.
끝없이 암호를 입력함으로써 해커가 마침내 유명한 인물의 암호를 찾아낸 덕분에 iCloud 계정에 침입한 것으로 보입니다. Apple 직원은 Balic에게 정보를 알고 있으며 이에 대해 감사하다고 답했습니다. 이메일 외에도 Balic은 오류 보고 전용 페이지를 통해 문제를 보고했습니다.
Apple은 마침내 5월 Balic에 다음과 같은 답변을 보냈습니다. “제공하신 정보에 따르면 해당 계정에 대해 작동하는 인증 토큰을 찾는 데 과도한 시간이 걸릴 것으로 보입니다. 합리적인 시간 내에 계정에 액세스할 수 있는 방법을 알고 계십니까?'
Apple의 보안 엔지니어 Brandon은 Balic의 발견을 큰 위협으로 여기지 않은 것 같습니다. “나는 그들이 문제를 완전히 해결하지 못했다고 믿습니다. 계속해서 더 보여달라고 하더군요.” 발릭이 말했다.
고장난 후에도 한두 번 수리할 수 있다는 점이 흥미롭습니다.
Apple에는 자신이 다른 사람보다 더 뛰어나다고 생각하는 건방진 사람들이 있습니다.
그러니까 무엇보다 비밀번호를 12345로 설정한 사람이 멍청해서 악마화하진 않겠습니다. Apple은 두 번째로 잘못된 비밀번호를 입력한 후 계정을 차단합니다. 즉, 해당 계정은 여전히 로그아웃 상태입니다.
특정 은행(FIO인 것 같아요)에서도 비슷한 문제가 발생한 지 그리 오래되지 않았습니다. 고객의 로그인 이름은 일련의 숫자였으며 비밀번호를 세 번째 입력한 후 계정이 차단되었고 고객은 비밀번호를 재설정하기 위해 은행에 가야 했습니다. 글쎄, 무슨 일이 일어나지 않았나요? 누군가가 숫자를 조작하고 모든 사람의 계정을 차단했습니다.
Apple에서도 비슷한 일이 일어날 수 있습니다. 누군가는 많은 존경심을 전달하고 차단할 것입니다. 그렇다면 iCloud 비밀번호 재설정은 얼마나 성가신 일입니까?
IMO 이것은 바보를 보호하기 위한 기능이며 다른 사람을 짜증나게 할 뿐입니다.
제 생각에는 두 가지 합리적인 해결책이 있습니다.
1. 단순 비밀번호 사용을 허용하지 않으며, 접속 시도 횟수를 무한대로 남겨둡니다.
2. 잘못된 비밀번호를 x번째 입력한 후 사용자에게 휴대폰, 이메일, iCloud 비밀번호 재설정을 통한 인증을 제공하거나 다음 시도까지 x시간을 기다리며 이와 관련하여 사용자와 Apple에게 몇 가지 잘못된 사항에 대해 경고합니다. 비밀번호를 입력했습니다.
모든 것을 그대로 두고 사용자가 간단한 비밀번호를 사용하도록 허용하고 비밀번호를 입력하려는 시도를 무한정 허용하는 것은 확실히 옳지 않았습니다. 책임은 국민 자신에게 있는 것이 분명하지만 회사는 국민이 어리석다는 사실을 받아들여야 한다.
보안은 정말 매우 열악한 수준이었습니다. 누군가가 항상 공격할 수 있기 때문에 해커로부터 자신을 보호해야 하는 것처럼 어리석은 사용자로부터도 자신을 보호해야 합니다.
예를 들어, 두 번째 해결책은 누군가가 비밀번호를 시도하고 계정을 차단하면 영향을 받은 사용자에 대한 서비스 작동이 중단된다는 사실로 이어집니다. iCloud와 동기화되지 않습니다. 이게 더 낫다고 생각하시나요? 이러한 대규모 시스템의 경우 실제로 완벽한 솔루션은 없으며 문제가 가장 적은 솔루션만 있습니다.
Apple은 코를 내밀고 있으며 iMoney에 관한 것입니다.
여기에서는 변경 사항을 위해 bash를 수정하겠습니다.
잡스가 세상으로 돌아올 기회가 있다면 그가 가장 먼저 할 일은 애플 경영진의 절반 이상을 해고하는 것입니다. 아마도 그 경영진에는 아무도 남지 않을 것입니다. 그 회사는 그게 정말 정점이고 제가 말했듯이 잡스 같은 사람도 거기에서는 매우 틀렸습니다 :-( 잡스는 이미 일생에 한 번 애플에서 해고되었고 상황은 정말 안 좋았습니다. 그리고 그가 돌아왔을 때, 애플은 다시 일했지만 아쉽게도 그들은 이제 돌아오지 않을 것입니다. 정말로 그들을 옹호하고 머리를 때리고 손을 자르는 사람의 잘못입니다.