HARD CORE SECURITY LAB

Po tym jak kilka tygodni temu jeden z pracowników firmy Apple zgubił w barze prototyp nowego iPhone’a, dziś jesteśmy świadkami kolejnej kompromitującej wpadki tej amerykańskiej korporacji. Otóż luka obecna w aplikacji webowej pozwoliła komputerowym przestępcom na wykradnięcie ponad stu tysięcy adresów e-mailowych należących do klientów, którzy zakupili iPada. Warto podkreślić, że wiele z przechwyconych adresów należy do osób znanych oraz zajmujących wysokie stanowiska, między innymi polityków, czy też prezesów dużych firm.

Przestępcom udało się wykorzystać luki obecne w systemie obsługiwanym przez firmę AT&T i w efekcie przechwycić prywatne dane należące do 114 tys. użytkowników urządzenia Apple iPad. W ręce intruzów wpadły adresy e-mailowe klientów oraz odpowiadające im identyfikatory ICC-ID (ang. Integrated Circuit Card Identifier).

Firma AT&T zamknęła lukę już kilka dni temu, jednak klienci firmy Apple nie zostali natychmiast poinformowanie o wycieku danych. Na chwilę obecną wygląda więc, że winę za całe zajście ponosi przede wszystkim firma utrzymująca serwis internetowy, niestety ucierpieli jednak klienci firmy Apple, która z resztą również nie jest przecież bez winy. Przede wszystkim procedura aktywowania iPada wymaga od klientów udostępnienia własnego adresu e-mail. Po drugie wygląda na to, że firma Apple niedostatecznie nadzorowała bezpieczeństwo danych znajdujących się w rękach zewnętrznego dostawcy usług.

Włamania dokonała grupa Goatse Security, znana już między innymi z upublicznienia informacji na temat kilku luk w popularnych przeglądarkach internetowych. Intruzom udało się wydobyć poszczególne adresy e-mailowe wykorzystując publicznie dostępny skrypt, który po podaniu identyfikatora ICC-ID zwracał skojarzony z nim adres klienta. Natomiast określenie odpowiedniego zakresu wartości ICC-ID było możliwe po przeanalizowaniu przykładowej grupy identyfikatorów. Wszystko to pozwoliło na przygotowania prostego skryptu PHP, który w sposób automatyczny pobrał dane należące do ponad stu tysięcy klientów firmy Apple...

Jako że Apple iPad znalazł się już w rękach wielu znaczących polityków, biznesmenów, osobistości z branży rozrywkowej, dowódców wojskowych i wysokich rangą urzędników, przechwycone dane mają sporą wartość oraz stanowią potencjalnie duże zagrożenie. Z pewnością dotarcie do tak obszernej listy zawierającej między innymi zweryfikowane adresy tak wielu ważnych osobistości jest marzeniem każdej grupy trudniącej się dystrybucją spamu. Poza tym, znajomość adresów e-mailowych znanych osób może pozwalać na przeprowadzanie precyzyjnie wymierzonych ataków, takich jak np. wymierzone w konkretną osobę ataki phishingowe.

Warto przede wszystkim podkreślić to, w jak prosty sposób możliwe było uzyskanie całej bazy e-mailowej klientów firmy Apple za pomocą prostego skryptu. Ponadto uwagę zwraca reakcja firmy AT&T bezpośrednio po zdarzeniu, a właściwie brak jakiejkolwiek oficjalnej reakcji. Niestety takie podejście wyłącznie spotęgowało zagrożenie skutecznymi atakami wymierzonymi w klientów, którzy nie zostali od razu poinformowani o potencjalnym zagrożeniu. Niestety firma AT&T zawiodła zaufanie zarówno firmy Apple, jak i klientów firmy Apple, co z pewnością nie pozostanie bez znaczenia dla jej dalszej działalności.

[Aktualizacja]
Jeden z członków grupy Goatse Security był na tyle miły, że zgodził się ujawnić treść skryptu, który posłużył do wykonania ataku:
[źródło]