특정 사용자의 애플 iCloud 계정에 아이디/패스워드를 brute force 공격을 통해 Find my iPhone 서비스에 접근할 수 있는 방법이 Github[1]에 올라왔다. 그리고 이틀 뒤 hacker News[2]에 올라온 뒤 애플에 의해 패치되었다고 Github의 문서 내용이 PST 03:20에 수정되었다.
참고) brete force attack
무차별 대입 공격(영어: brute force attack)은 특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것을 의미한다. 대부분의 암호화 방식은 이론적으로 무차별 대입 공격에 대해 안전하지 못하며, 충분한 시간이 존재한다면 암호화된 정보를 해독할 수 있다. 하지만 대부분의 경우 모든 계산을 마치려면 실용적이지 못한 비용이나 시간을 소요하게 되어, 공격을 방지하게 한다. 암호의 '취약점'이라는 의미에는 무차별 대입 공격보다 더 빠른 공격 방법이 존재한다는 것을 의미한다.
#CLiOS
로긴이 될 때까지 무작위의 암호로 반복해서 로긴을 시도하는 방법을 말합니다.
옛날에 휴대폰 4자리 숫자암호 0000부터9999까지 다 눌러보던거 생각하시면 돼요.
Awful님
Sisyphus님
답변해주셔서 감사드립니다 ;)
엇, 그새 얼룩고양이님도;; ㅎㅎ
#CLiOS
저 취약점 공격할 수 있는 스크립트가 github에 공개되고 이틀인데 그동안 충분한 컴퓨팅파워의 머신들을 가지고 진지하게 돌렸다면 얼마나 많은 아이디/패스워드가 수집되었을지 모른다는 생각이...
누군가 알게 되고, 그걸 올린뒤 이틀뒤에 패치 된거죠.
그러니, 기트허브에 올라오기 전부터 누군가는 알고 있었을 가능성이 ㄷㄷㄷ
아주 기본적인 방어책인데 이것도 안되어있을리가 ...
애플은 이걸 확인후 지금은 차단을 했지만
차단하기전까지 위방법으로 유출가능성이 높다는 겁니다.
이번 유출경로가 이거로 확정나면 해커만큼이나
애플도 엄청난 책임문제 논란이 있을것 같네요.
from CV
1. 애플 아이디의
패스워드는 숫자와 대문자 그리고 소문자로 구성되게 되어있는데 이틀동안 그 많은 사람들의 패스워드를 탈취하는것이 가능한가요?
(제가 요즘 컴퓨팅 파워가 어느 정도인지 그쪽으로는 잘 몰라서 여쭙습니다.)
2. 아이디와 패스워드를 탈취하였더라도 어떻게 사진을 받아왔을까요? 아이클라우드 제어판을 사용하여 탈취한 아이디로 로그인 하면 메일로 통보가 될텐데 피해자는 왜 대응을 하지 않았을까요?
3. 포토스트림은 동영상을 지원하지 않는데 동영상은 어떻게 구한것인지.
#CLiOS
2.3. 해커가 애플 계정 암호를 알았으면 그걸로 xx박스 접속 시도하는 건 자연스러운 일이겠죠. 노티를 피했는지 아니면 다른 허점이 합쳐진건지는 모르겠습니다.
아 그렇군요 답변 감사합니다. 아이클라우드 백업을 이용한 방법이 있었다는건 처음 알았네요
#CLiOS
여기에서 암호의 안정성을 확인해보셔도 됩니다. 대충 뜯어보니 대문자, 소문자, 숫자, 키보드 위(숫자 위) 특수문자, 그 외 특수문자 정도로 나눠서 복잡도를 계산하는 정도같은데 불안하시면 해당하는 타입으로 치환(대문자는 대문자 A->Z, 숫자는 숫자 1->0)해서 확인해보시면 대충은 알 수 있을껍니다. 나름 최근까지 유행하는 사전식 데이터 등 업데이트는 있었던 것으로 보입니다.
친절한 답변 감사합니다. 패스워드 안정성 검사좀 해봐야겠네요 :)
#CLiOS
예를 들어 div#4562을 암호로 쓰고 싶다면 hue@8765 이런식의 패턴으로 검증을 하시는게 좋습니다.
1.
애플 2009년 이전에 가입했던 사람들이라면, 패스워드에 대문자와 특수문자가 필수가 아니었습니다. 거기에 반복문까지 다 허용했었죠.
그때 당시 온라인 보안은 그리 많은 난이도의 조합을 요청하진 않았습니다.
제 애플 계정이 다 아주 단순한 대문자 특수문자 없는 단순 반복 조합입니다.
저 툴로 돌리면 10분도 안걸려 알아낼 수 있을 만큼이죠.
2. 아이클라우드;;;; 로그인 해도 이메일로 알려주지 않더라구요!!
API로 불특정 다수를 무한대 접근이 가능한 상태로 적어도 몇 달? 몇 주?
FBI가 가장 안 좋은 시나리오를 가지고 수사를 들어갔으면 하네요.
초기유저인데 미국계정 총6자리 소문자영어 와 숫자조합이에요
from CV
#CLiOS
설마 했는데...
진짜 기초적인 보안이 안되어 있었네요.
딕셔너리 어택 맘대로 허용하겠다는 의미네요.
그나저나 github 에 올린 용자의 패기...
"Before you start, make sure it's not illegal in your country." -_-
github 날짜를 보면 불과 몇시간, 며칠전까지는 가능했던것으로 보이는데, 이거 참…
#CLiOS
..
부르트포스 막는방법은 많고 쉽죠....
님 댓글이 아래 글의 댓글 저격 수순으로 보여서 적습니다만..
님의 말씀처럼 근거 없이 부주의라고 말하는 것이 저 피해자들 입장에선 되게 억울하며
또 제3자에게 얻는 상처가 되어 정신적인 피해를 받을 수 있을 거 같다는 개인적인 생각에 님의 의견에는 동감하는데요..
하지만 생각이 다를 수 있는 부분이기도 하고 (단순히 상황만 놓고 봤을 때 부주의가 문제를 악화시켰다면) 애초에 설득이 가능한 부분인데 불구하고
다른 사람의 댓글을 보고 웃기네요.라고 비꼬시거나 계속 해서 다른 분들 의견에 날세운듯이 반박하시는 모습 같은...
그런 부분을 보고 민감하다는 분들도 있게 된 거고 비꼬는 거 보기 안 좋다는 분들도 있는 거 같아요.
사람에 따라선 님의 댓글이 과민반응 처럼 보일 수도 있을 거 같거든요..
계속해서 반박을 하시면서 상대방을 무시하는 투로 얘기하시는 부분도 좀 있는 거 같고요..
선동렬님의 의견이 틀렸다는 게 아니라 댓글 다시는 모습이 그렇게 보일 수 있다는 것을 말하는 것을 간과하면 안 될 거 같아요.
그리고....그분들이 왜 애플 팬보이가 됩니까? 어떻게 그 상황을 팬보이들의 행동으로 보실 수 있는 거죠?
그리고 토나오고 혐오스럽다니요..이런 말 또한 솔직히 말씀드려서 똑같은 언어 폭력 같아요.
너무 이분법적 사고로 보시는 거 아닌가 싶어요.
애플의 잘못이 없다,라고 말하는 것도 아니고 그냥 여러 의견을 내세우는 그런 부분 밖에 안 되는 상황이였는데...
의견 차이가 있고 어떤 말이 틀렸다고 한들 그 상황은 애플 팬보이란 말이 나올 부분은 아니죠.
님의 의견의 내용이 과민반응이라는 게 아니라 님의 의견에 동감해도 댓글의 뉘앙스? 반박의 모습이 그랬다는 것인데..
적어도 자신에게 반박하거나 그러는 분들을 향해서 이렇게 전체적으로 팬보이라며 저격하시면서
토나오니 혐오스럽니..그러시고 비꼬시는 모습도 진짜 좋지 않아보여요.
유출 피해자들에게 쓴 부주의란 말보다 더 심한 말이 될 수 있을 거 같아요;;
여기가 싸움터도 아닌데 바로 아래의 댓글 다신 사람들을 향해서 그렇게 얘기하시는 게 진짜 좀 그렇네요..
이런 말 하는 저도 애플 팬보이나 삼성 팬보이나 둘 다 싫고..
그런 두 부류의 싸움 같은 거 정말 지겨워하고 그래서 싫어하거든요.. 근데 너무 또 연장선에 놓인 거 같아서 댓글 달아봐요..
별 차이 없어보이는군요
#CLiOS
from CV
이거 회숫 제한 하고 시간제한하는건 기초중의 기초인데 이걸 며칠전까지 안막았다니 ㅈㅈ
현재 iCloud도 구글의 안드로이드 폰 연락처 백업보다 오류가 저한테는 자주 보이더군요
안드로이드 폰의 구글 연락처 백업은 거의 실패가 없는데 iCloud는 가끔 연락처가 안보이다가 다시 몇 분 뒤에 보인 적이 있었습니다.
애플에서 온라인 서비스는 기대치를 낮추는 편이 안전합니다. 보안도 마이너 OS시절을 오래 거쳐서인지 대응이 가끔 충분히 빠르지 못할 때가 있더라고요. Microsoft 만큼의 빠른 대응은 어려울 지라도 현재 미국내 모바일 OS에서의 위상은 Mac OSX 시절보다는 많이 올라갔으니 그에 걸맞는 수준의 대응은 해 주길 바랍니다.
정말 기초중에 기초인데, 어이가 없을 정도네요.
물론 이런 공격이 먹히지 않도록, 각자 비밀번호를 충분히 복잡하게 설정할 책임이 있긴 합니다만...
그래도 이런 어이없는 기초적 구멍이 뚫려 있었다는 점은 놀랍네요 -_-a
"누구 잘못인지 아직 모르는데"
아이클라우드가 털렸는데 누가잘못일까요 삼성이 잘못일까요? 하나의 종교의 영역인거같네요
from CV
#CLiOS
이게 왜 돈을 아끼는 거죠?
그냥 잘못한거지 램이랑은 전혀 상관없는데요. 그냥 까고 싶으신가봐요;;
#CLiOS
해킹은 아니고 계정도용을 하는 것도 맞구요.
애플도 리니지같은 온라인 게임 서비스 경험이 있었으면 저리 안 했을텐데 ㅎㅎ
from CV
심지어 물리적으로 관리자 협박해서 받는 것도 해킹이예요.
요말이 갑자기 떠오르네요.
애플은 참 기대에 부응도못하고 여럿실망시키는군요
그놈의 보안...보안하더니...
구멍을 일부러 만드는건 보안능력이고 자시고 그냥 백도어 범죄인거고, 구멍을 제대로 못막는거 자체가 그게 실수든 게으름이든 보안능력을 가늠하는 판단기준 아닌가요