552@JUNP_Nです。iCloudがハッキングされて米女優のヌード写真などが大量流出し、海外では大騒ぎになっていましたが、ハッキングの手段や脆弱性について判明したそうです。
「iPhoneを探す」の脆弱性をついたブルートフォースアタック
現在では既にこの脆弱性はパッチがあてられ悪用することはできなくなっていますが、今回のヌード写真などが大量流出した騒動はiCloudの「iPhoneを探す」という機能の脆弱性をついたものだったことが判明したそうです。
この脆弱性を悪用するツールはGithub上に2日前に公開されていたようで、Appleが気がついてパッチを適用したのか、偶然だったのか、Appleからのコメントはいまだされていません。
「iPhoneを探す」機能ではパスワードを複数回間違えてもロックアウトされることもなく、繰り返し施行することができるということを利用したブルートフォースアタックだったようです。現在は複数回間違えるとロックアウトされるようになっています。
iCloudのセキュリティ対策には、簡単なパスワードではなく複雑で強力なパスワードを設定。そしてApple IDの2段階認証はしておいたほうが良さそうです。
