Найден способ разблокировать iPhone 6s без Apple ID

|
FavoriteLoading В закладки
Найден способ разблокировать iPhone 6s без Apple ID

Эксперты Morphus Labs пришли к выводу, что шестизначный код и Touch ID не способны в полной мере защитить iPhone от злоумышленников.

Они сделали такой вывод из инцидента, произошедшего на этой неделе.

К сотрудникам компании обратился владелец iPhone 6s, у которого украли смартфон. Он рассказал о том, что злоумышленникам удалось сменить данные его Apple ID и обратиться в банк с целью получения пароля от его аккаунта. Благо, деньги остались нетронутыми.

Жертва утверждает, что с поставленной задачей воры справились всего за два часа. Исследователей сразу же озадачил вопрос: каким образом они сменили учетные данные на заблокированном айфоне?

IMG_1387

Эксперты сразу же отбросили идею о целевой атаке. Они брали в расчёт случайную кражу. Поэтому они приобрели себе iPhone 6s и попробовали восстановить ход событий.

Во-первых, им требовался почтовый адрес от аккаунта Google. Для его восстановления требуется имя, фамилия и номер телефона владельца. Чтобы узнать номер, им достаточно было переставить SIM-карту в другой смартфон. Далее злоумышленники решили «пробить» номер через Google и Facebook. Безуспешно.

Потом они попробовали WhatsApp: когда участник групповой беседы получает сообщение от пользователя, не входящего в список контактов, его имя отображается рядом с номером телефона. Следовательно, отправив сообщение с заблокированного iPhone в группу WhatsApp, уведомление отразится на экране блокировки айфона.

Благодаря функции 3D Touch они смогли ответить на это сообщение и добавить неизвестный контакт в группу. Затем снова отправили сообщение адресату и получили имя и фамилию «жертвы».

IMG_1386

После «кражи» данных, злоумышленники смогли восстановить адрес электронной почты и сменить пароль от учетной записи Google.

Дальше им уже не составило труда поменять данные Apple ID. [Security Affairs]

Рейтинг поста:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (5.00 из 5, оценили: 1)
Оставайся в теме. Подпишись на наш Telegram 👏
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Это оказалось не так уж и сложно.
Прокомментировать

🙈 Комментарии 39

  1. schummi avatar
    schummi19 октябрь 2016
    20

    Что за бретину вы написали в статье?

    Воры отправили сообщение с заблокированного iPhone в группу WhatsApp, и уведомление отразилось на экране блокировки айфона. – это как?

    firesnake avatar
    firesnake19 октябрь 2016
    2

    @schummi, ага, тоже обратил на это внимание.

    goodhoopoe avatar
    goodhoopoe19 октябрь 2016
    0

    @schummi, я думаю сири, либо опять же 3дтач при наличии уведомления на экране.

  2. schummi avatar
    schummi19 октябрь 2016
    3

    Что за дичь вообще написана? Взломали аккаунт гугла, причём тут вообще apple?
    КГ АМ

    Артём Баусов avatar
    Артём Баусов19 октябрь 2016
    1

    @schummi, аккаунт гугла = почтовый адрес для Apple ID

    goodhoopoe avatar
    goodhoopoe19 октябрь 2016
    9

    @Артём Баусов, желтый заголовок, вот основная претензия.

    iaw avatar
    iaw19 октябрь 2016
    1

    @goodhoopoe, на этом ресурсе это частая вещь, желтизна зашкаливает! Так же как и про опубликованные данные российских операторов…

    iChernovik19 октябрь 2016
    2

    @iaw, причем любая критика просто игнорируется.

    schummi avatar
    schummi20 октябрь 2016
    0

    @Артём Баусов, чушь. С чего они решили, что у него почта Гугл, а не Яндекс например или любая другая?

  3. findarato19 октябрь 2016
    5

    Я так понимаю, все это может быть актуально только в том случае, если владелец не заблокировал свой телефон через Найти iPhone?

  4. coldfusioner avatar
    coldfusioner19 октябрь 2016
    2

    нипанятнааа :)

  5. orgrimmguard19 октябрь 2016
    2

    Почему именно 6s? Любой так можно сломать, если есть почта = Apple ID

    ozyab avatar
    ozyab19 октябрь 2016
    0

    @orgrimmguard, в схеме присутствует 3D Touch, поэтому, видимо, не любой, но точно не только 6s

    supchik avatar
    supchik19 октябрь 2016
    4

    @ozyab, по всплывшему уведомлению на заблокированном экране надо провести справа на лево чуть дольше (это метод для 6 и ниже)

  6. Bruxelles avatar
    Bruxelles19 октябрь 2016
    0

    хрень полная

  7. goodhoopoe avatar
    goodhoopoe19 октябрь 2016
    4

    предлагаю редакции шок новость написать: взломан айфон7! злоумышленники смогли взломать его, введя пароль от эпплайди, который был 1234567! ваши телефоны в опасносте!

  8. PixelMixel avatar
    PixelMixel19 октябрь 2016
    0

    Отключайте всякие опции (Siri и прочее) на заблокированном экране, если боитесь потерять телефон.

  9. Czochralski avatar
    Czochralski19 октябрь 2016
    1

    OMFG, ну что за чушь вы порете?!

  10. nnm1 avatar
    nnm119 октябрь 2016
    2

    “Эксперты Morphus Labs пришли к выводу, что шестизначный код и Touch ID не способны в полной мере защитить iPhone от злоумышленников.”
    – далее по тексту об этом ни слова. А именно это было самым интересным, когда начал читать: как же все-таки пароль к home screen обойти, а здесь какой-то гугл.

  11. ipg avatar
    ipg19 октябрь 2016
    0

    Резюме: Как говорится – цепь случайностей. Но будьте осторожнее.

  12. Alexis Assa19 октябрь 2016
    9

    хоть что-то понял, только прочитав оригинал новости.
    дело было так:
    1. вытащили симку из айфона – узнали номер.
    2. добавили контакт с этим номером в групповой чат вотсап.
    3. написали с другого аппарата в чат и ответили на сообщение с экрана заблокированного айфона.
    4. у участников чата отобразились имя и фамилия контакта.
    5. по номеру, имени и фамилии нашли гуглопочту (как?).
    6. в гугле нажали, что забыли пароль – гугл в качестве подтверждения спросил только номер телефона.
    7. сбросили эппл айди, который совпадал с гуглопочтой – ссылка на ввод нового пароля пришла на эту же почту.

    вывод – пользуйтесь двухфакторной авторизацией.

    James404 avatar
    James40419 октябрь 2016
    0

    @Alexis Assa, лучше из гугля удалить свой телефон

    NBoyRu19 октябрь 2016
    2

    @Alexis Assa, как-слишком просто выходит – а откуда они узнали пароль от гуглопочты?!? Или он ТОЖЕ совпадал с номером телефона? А как потдверждение пришло на той же гуглопочтой, когда должно приходить на резервный e-mail?? И вообще, по этой же логике, любой знакомый, знающий твой телефонный номер и ящик в Гугл, сможет сбросить твой Apple AD… Чушь полная, эта публикация(((

    Alexis Assa20 октябрь 2016
    1

    @NBoyRu, они не узнавали пароль от гуглопочты, они его сбросили. если заведен номер телефона – код для сброса смс присылается – https://yadi.sk/i/1sTNuvkGxBWmZ

    NBoyRu19 октябрь 2016
    0

    @Alexis Assa, а по пункте 6, куда послал им Гугл ссылку на сбрасывание пароля гуглопочты?? На заблокированный ящик? На заблокированный телефон? Ерунда какая-то…

    Alexis Assa20 октябрь 2016
    0

    @NBoyRu, смс с кодом прислал на симку из заблокированного телефона

    Pavel Loskutov20 октябрь 2016
    0

    @Alexis Assa, а как двухфакторная авторизация спасет в данном случае, если симка и почта уже доступны злым умышленникам?!!?

    P.S. У меня дома комп незапароленный и айпад – с любого можно войти в клиентбанка (ечли знать пароль) и получать подтверждения по смс и на планшет (очень удобно когда айфон и смс и звонки на планшет отправляет).

    Хозяину остается только успеть заблокировать все счета!?! :)

    P.S. ТачИД на взоде в клиентбанк отключил – лучше я сам скажу или не скажу свой пинкод, чем мне дадут по башке и сами войдут моим пальцем в него. А подтверждения в айфон приходят :)

    Alexis Assa20 октябрь 2016
    0

    @Pavel Loskutov, у гугла двухфакторная реализуется не через смс, а через предварительно сгенерированные коды или собственное приложение google authenticator.

    Antisuicide avatar
    Antisuicide20 октябрь 2016
    0

    @Alexis Assa, вывод – ставьте пинкод на симку. Толку от авторизации если симка у чела, пока ты ее сообразишь заблочить все будет у него.

    miller_ avatar
    miller_22 октябрь 2016
    0

    @Alexis Assa, вывод ставьте пинкод на симку:3

  13. yuraIOS19 октябрь 2016
    1

    даже если все из вышеперечисленного и прокатит, моего имени никогда не было в вотс аппе))) тем более фамилии

  14. Tketano avatar
    Tketano19 октябрь 2016
    2

    Содержание матчасти в данной статье заведомо превышает летальные дозы. Народ в комментах просто уплыл.

  15. stepkin2 avatar
    stepkin219 октябрь 2016
    1

    После фразы “переставили сим-карту в другой смартфон” можно не читать. А как они обошли пин-код самой сим-карты? Или его не было? Если симка не запрашивает пин-код при перестановке – хозяин олень. С тем же успехом можно оставить дверь в квартире настежь открытой, а потом устраивать “пин-тесты замков” со специалистами.

    DoKis avatar
    DoKis19 октябрь 2016
    0

    @stepkin2, уже давно не встречал пин на новых сим-картах. По-моему он выключен по умолчанию

    Timsan avatar
    Timsan20 октябрь 2016
    0

    @DoKis
    Да, на новых сим-картах пин или выключен, или четыре нуля.

    migmit avatar
    migmit20 октябрь 2016
    0

    @stepkin2, а точно нужен пин-код, чтобы узнать номер сим-карты? Не чтобы позвонить, а чтобы номер узнать?

    ghool avatar
    ghool20 октябрь 2016
    0

    @stepkin2, мало включить PIN на симке – надо ещё и уведомления о SMS убирать с локскрина.
    А то всякие пароли двухфакторок часто в первых строках приходят и в “уведомлении о СМС” видна нужная часть СМС.

    Кстати, думаю о джейле по одной причине:
    Хочу автоматический разлок симки с пином в МОЁМ телефоне.
    что бы в случае ребута он появлялся в интернете.

  16. Varian avatar
    Varian20 октябрь 2016
    0

    Я не знаю ни одного человека, который поставил своё полное имя в ВотсАп.
    У всех ники, или эмодзи

    ilyaster avatar
    ilyaster20 октябрь 2016
    1

    @Varian, у меня полное или в восапе или в телеграмме хе-хе

    Но вообще, безопасность надо настраивать в комплексе и полная защищенность всей системы всегда будет равняться минимальной в этой цепи.

    – На симке обязательно должен стоять лок по пин коду.
    – На всех сервисах включена двухфакторная аутентификация.
    – Не должно быть одинаковых паролей в сервисах.
    – Никогда не давать реальные ответы на секретные вопросы для восстановления паролей
    – Желательно для регистраций везде использовать отдельный почтовый ящик, не связанный с основным

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь