Хакер #305. Многошаговые SQL-инъекции
Специалист компании Elcomsoft и постоянный автор "Хакера" Олег Афонин обратил внимание широкой общественности на проблему, с которой не понаслышке знакомы некоторые пользователи iPhone. Дело в том, что синхронизация с iCloud может оказаться палкой о двух концах, а многие пользователи даже не подозревают об этом. Все данные о звонках пользователя автоматически синхронизируются с iCloud, в числе прочего, и извлечь их откуда можно по запросу правоохранительных органов. В теории доступ к ним также могут получить третьи стороны.
«На устройствах с iOS 8 и выше ваши персональные данные хранятся под защитой вашего пароля. Apple не может извлечь данные по запросу правоохранительных органов со всех устройств на базе iOS 8 и выше, так как все файлы на них защищены ключом шифрования, который привязан к паролю пользователя, а им Apple не располагает», — объясняет Афонин.
Однако того же нельзя сказать об iCloud, те же уровни защиты уже не распространяются на облако. По мнению эксперта, облачная синхронизация – настоящий подарок для криминалистов и правоохранителей, ведь благодаря iCloud они могут добраться до информации, которая без облака была бы для них попросту недосягаема.
«Возможность извлечь журналы звонков из облака, вместо того чтобы иметь дело со сложной аппаратной защитой сегодняшних iPhone, это настоящее благо для криминалистов», — пишет исследователь.
Для пользователей, в свою очередь, это может обернуться настоящим кошмаром. И проблема не только в том, что доступ к данным в облаке получить куда проще, но и в том, что все синхронизированные данные (в том числе журналы вызовов и звонков FaceTime, а также данные VoIP-приложений, таких как WhatsApp, Skype, Viber или Facebook Messenger), видны для всех устройств с одинаковым Apple ID, что особенно актуально для семейных пользователей. На серверах Apple в итоге оказываются весьма ценные мета-данные: телефонные номера, даты звонков, данные об их продолжительности, информация о пропущенных вызовах и так далее.
Исследователь пишет, что данные синхронизируются без ведома пользователя, практически в режиме реального времени, как только устройство может связаться с iCloud. Более того, данную функцию невозможно отключить, пользователь не может выборочно отказаться от синхронизации журналов вызовов, продолжая пользоваться iCloud. Единственный выход – отключить iCloud вовсе (семейные пользователи также могут использовать разные аккаунты).
При этом Афонин пишет, что, невзирая на защиту Apple, при помощи инструмента Elcomsoft Phone Breaker можно извлечь данные из облака, достаточно знать Apple ID и iCloud-пароль пользователя. Также подойдет аутентификационный токен с компьютера жертвы или подозреваемого, которого будет достаточно как для работы правоохранительных органов, так и злоумышленников. Изданию Forbes представители Elcomsoft рассказали, что им удалось извлечь из облака информацию более чем четырехмесячной давности.
В компании Apple к предостережениям исследователей отнеслись спокойно и сообщили, что волноваться не о чем. По словам представителей Apple, данные в облаке защищены не хуже, чем на самом устройстве, так как для доступа к ним все равно потребуются Apple ID и пароль. В компании порекомендовали пользователям создавать надежные пароли и пользоваться двухфакторной аутентификацией.