Шестизначный пароль и датчик отпечатков пальцев Touch ID не могут в полной мере защитить владельцев iPhone 6s от взлома. К такому выводу пришли эксперты компании Morphus Labs, проанализировав произошедший на этой неделе инцидент.
Владелец iPhone 6s обратился в Morphus Labs на третий день после кражи смартфона. По его словам, похитители изменили пароли к некоторым его учетным записям, в том числе Apple ID, и даже связались с его банком с просьбой получить пароль к банковским аккаунтам. К счастью, им так и не удалось похитить деньги, однако оставалось неясным, как злоумышленники смогли изменить Apple ID на заблокированном смартфоне.
Исследователи сразу же отбросили идею о целевой атаке (то есть, злоумышленники не планировали похищать именно этот iPhone). Ничего, кроме мобильного устройства, у жертвы не пропало. Значит, у похитителей не было ни ее имени, ни адреса электронной почты, ни каких-либо других личных данных.
С момента обнаружения пропажи до блокировки жертвой SIM-карты прошло всего два часа, и у злоумышленников было мало времени на подбор пароля для разблокировки смартфона. Пароль состоял из шести символов, был надежным и без каких-либо совпадений с личными данными жертвы (ни датой рождения, ни номером автомобиля, которые похитители при желании могли бы узнать).
Для изменения пароля к учетной записи Google требуется как минимум логин (адрес электронной почты). Каким образом злоумышленникам удалось его получить? В Сети существуют сервисы, предлагающие по идентификатору IMEI узнать Apple ID, однако процесс занимает от 24 до 48 часов, а в распоряжении злоумышленников было не более двух.
Все, что могли получить хакеры – номер телефона жертвы. Как выяснили исследователи, Google позволяет узнать электронный адрес пользователя, указав лишь его имя, фамилию и номер телефона. Исследователи решили воспроизвести предполагаемые действия злоумышленников. Они приобрели iPhone 6s и зарегистрировали учетные записи Google и Apple.
Действуя как похитители, эксперты сначала вынули из устройства SIM-карту и вставили ее в другой смартфон, узнав таким образом номер телефона «жертвы». Далее они попытались пойти по легкому пути и вычислить имя пользователя, просто введя в поиск Google номер телефона, но безрезультатно. Поиск в Facebook также ничего не дал.
Здесь на помощь пришел WhatsApp. Один из исследователей вспомнил, что если участник групповой беседы в WhatsApp получит сообщение от пользователя, не входящего в список контактов, его имя отобразится рядом с номером телефона. Значит, отправив сообщение с заблокированного iPhone группе в WhatsApp, можно было получить имя пользователя. Зная номер телефона, исследователи отправили по нему сообщение в WhatsApp, и уведомление отразилось на экране блокировки заблокированного iPhone.
С помощью реализованной в смартфоне технологии 3D touch эксперты ответили на сообщение непосредственно с экрана блокировки, а затем добавили контакт в группу WhatsApp. Исследователи снова отправили сообщение, ответили на него с экрана блокировки и вуаля – получили имя «жертвы». Имея номер телефона, имя и фамилию, они смогли через Google получить и электронный адрес, а затем изменить пароли к учетной записи Google. После этого изменить Apple ID не составило труда.
http://www.securitylab.ru/news/484167.php
