В 2014 году в сеть массово утекли личные фотографии знаменитостей, это произошло из-за взлома учётных записей iCloud. Все жертвы — популярные актёры, певцы, из-за чего начался крупный скандал. Преступника долго не могли обнаружить, и через длительное время его смогли найти.
После этого компания Apple начала менять подход к защите пользователей, появились новые способы защиты аккаунтов, один из них сегодня мы и рассмотрим.
Сегодня мы рассмотрим двухэтапную проверку Apple, узнаем что это такое, как это чудо функционирует, углубимся в факт может ли кто обойти данную проверку, и сделаем вывод стоит ли её вообще использовать.
Что же такое двухэтапная проверка от компании Apple?
Это очередной способ защиты личных данных, который должен помешать получить доступ к вашему аккаунту Apple ID. По идееи даже если преступник знает Ваш пароль, то он не сможет войти в аккаунт, пока не докажет, что он и является владельцем аккаунта.
Как же функционирует данная защита?
Доставка секретного пароля осуществляется сервисом Find My Phone, который вообще изначально придумали для блокировки смартфона если его украдут или потеряют.
Благодаря фуннкционалу Find My Phone, на смартфон отправляется тайный код. данный код появляется поверх экрана блокировки, ответа на вопрос почему так мы не обнаружили, так как если преступник держит в рруках телефон или планшет, он без проблем получит доступ к аккаунту.
Как же взламывают двухэтапную проверку от Apple?
Вы удивитесь но способов взлома существует несколько, если Вы уже знаете пароль, получить секретный код, не так и трудно:
1. Переставляем сим-карту из смартфона жертвы в свой, и получаем на свой iPhone код.
2. Клонируем сим-карту и получает код на неё.
3. Копиуем двоичный маркер аутентификации с компьютера жертвы.
4. Самое простое — считываем «секретный» пароль со смартфона жертвы, разблокировка не нужна.
Насколько же это безопасно?
Крайне безопасно небезопасно. Есть несколько причин по котоырм система откровенная слабая.
Аутентификация на основе мобильных номеров в принципе небезопасно, смс может перехватить и провайдер, предоставив его государственным органам, и простым копированеим сим-карты можно получить его же. Если же сим-карта жертвы на руках, то её просто вставляют в другой телефон и получает без проблем пароль от аккаунта на руки.
На данный момент вполне реально получить новую сим-карту вместо «утерянной» по поддельной доверенности от жертвы. Если Ваш пароль узнали, то узнать номер Вашего телефона не составляет труда и затрат времени, атакующий подделывает доверенность, получает Вашу сим-карту и всё, доступ к аккаунту у него на руках.
Есть ли смысл использвать двухэтапную проверку от Apple?
Есть ли Вы не используете другие способы защиты, то да, лучше уж так, чем ничего. Гораздо интереснее реализована двухфакторная авторизация в iOS 9.