В далеком 2014 году произошла массовая утечка личных фотографий знаменитостей. Причиной тому послужил взлом учетных записей сервиса Apple iCloud. Жертвами стали популярные актеры и певцы, что явилось причиной большого скандала. Хакера долго не могли вычислить и после длительных поисков он был пойман.
Этот факт заставил компанию Apple всерьез задуматься о защите своих пользователей. Были внедрены различные способы защиты аккаунта. Об одном из них и пойдет речь в этой статье.
Мы поговорим о двухэтапной проверке Apple. Я расскажу что это такое, и как она работает. Как злоумышленник может обойти двухэтапную проверку, и стоит ли вам вообще использовать такой метод авторизации и защиты.
Двухэтапная проверка Apple
Содержание
- Предисловие
- Что такое двухэтапная проверка Apple
- Как взламывают двухэтапную проверку Apple
- Стоит ли использовать двухэтапную проверку Apple
Что такое двухэтапная проверка Apple
Это мера безопасности, которая призвана предотвратить несанкционированный доступ к вашему аккаунту Apple ID. Даже если злоумышленнику известен пароль, ему не удастся зайти в учетную запись Apple ID до тех пор, пока он не подтвердит, что является владельцем данного аккаунта.
Как работает двухэтапная проверка Apple?
Для доставки секретного кода двухэтапная проверка Apple использует сервис Find My Phone, который изначально был предназначен для блокировки телефона в случае кражи или потери.
С помощью механизма Find My Phone на устройство отправляется секретный код проверки. Данный код появляется поверх экрана блокировки, что, как вы понимаете, не есть хорошо, так как хакер имея на руках телефон / планшет жертвы может получить доступ к аккаунту Apple.
Как взламывают двухэтапную проверку Apple
Взломать данный метод авторизации достаточно просто. Сделать это можно с помощью нескольких способов:
- Считать с доверенного устройства одноразовый секретный код проверки (разблокирование устройства не обязательно).
- Переставить симку в другой аппарат и получить смс с кодом проверки.
- Клонировать симку и получить код на нее.
- Воспользоваться двоичным маркером аутентификации, скопированным с компьютера жертвы.
Использование двухэтапной проверки Apple
Насколько это безопасно?
Очень небезопасно. Слабость системы заключается в следующих причинах.
Одноразовые коды, отправленные с помощью Find My Phone, отображаются на экране блокировки без какой-либо защиты.
Аутентификация на основе телефонных номеров крайне небезопасна: смс-сообщение может быть перехвачено как провайдером, так и клонированием или подменной симки. В случаях когда имеется физический доступ к сим-карте, ее можно просто установить в другое мобильное устройство и без проблем получить секретный код проверки.
Хакеры научились получать сим-карты взамен «утерянных» используя поддельные доверенности. Если ваш пароль украли, то уж узнать ваш номер телефона не составит труда. Подделывается доверенность, получается новая симка и все, для доступа к вашей учетной записи больше ничего и не надо.
Стоит ли использовать двухэтапную проверку Apple?
И да и нет. Если вы не используете другие способы защиты аккаунта Apple, тогда да. Это лучше чем ничего. Но если стал вопрос защиты аккаунта, я бы рекомендовал двухфакторную авторизацию, которая реализована в версиях iOS 9, и о которой я подробно расскажу в следующей статье, буквально на днях.
