Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Екатерина Быстрова 22 Июня 2021 - 10:20

Домашние пользователи

Парольная защита (пароли)

Средства генерации одноразовых паролей (OTP)

Уязвимости программ

...

Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Исследователь в области кибербезопасности Лаксман Матья обвинил Apple в непорядочном поведении, касающемся уязвимости в функции сброса пароля. Именно Матья выявил брешь, позволяющую получить контроль над аккаунтами iCloud.

По словам самого специалиста, обнаруженная дыра позволяла обойти меры безопасности, которые Apple внедрила для защиты учётных записей пользователей от брутфорса функции «забыл свой пароль».

Когда вы пытаетесь сбросить пароль для iCloud-аккаунта, вас просят подтвердить телефонный номер или адрес электронной почты. Для этого Apple отправит вам шестизначный код, который нужно будет ввести в специальное поле.

Таким образом, злоумышленник, задумавший взломать учётную запись жертвы, должен сначала выведать её телефонный номер или имейл. Потом потребуется как-то угадать отправленный шестизначный код или же подобрать его, на что может уйти около миллиона различных комбинаций.

Чтобы защитить аккаунты пользователей от брутфорса, Apple ограничила число попыток ввода кода. В итоге у владельца учётной записи (или преступника) есть всего пять попыток. Дополнительно купертиновцы ввели лимит на POST-запросы к одному серверу с одного IP-адреса — таких запросов допускается всего шесть.

Тем не менее Лаксман Матья обнаружил, что потенциальный атакующий может отправлять запросы при помощи облачных сервисов. Такой подход уже открывал возможность для брутфорса шестизначного кода.

Исследователь сообщил о проблеме представителям Apple ещё в июле 2020 года, а патч при этом вышел аж в апреле 2021-го. Apple поступила странно, даже не уведомив Матья о выпуске заплатки. Более того, техногигант отметил:

«В зоне риска лишь очень ограниченное число аккаунтов пользователей, поскольку атака сработает лишь в том случае, если пользователь никогда не входил в аккаунт с устройств iPhone, iPad или Mac, защищённых паролем».

Это не убедило Матья, который остался при своём мнении: корпорация просто попыталась скрыть факт наличия критической уязвимости. Также эксперт отказался от передоложенного вознаграждения в размере 18 тысяч долларов, поскольку считает, что ему должны выплатить $100 000 или даже $350 000.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Июня 2026 - 18:59

Соответствие законодательству РФ Общее

Минпромторг готов сдвинуть техсбор на электронику до декабря

Похоже, производители и продавцы электроники выиграли себе ещё немного времени. Минпромторг готов перенести запуск технологического сбора с электроники с 1 сентября на 1 декабря 2026 года. Об этом на ПМЭФ-2026 сообщил замглавы ведомства Василий Шпак.

По его словам, перенос произошёл прежде всего по просьбе отрасли. Но саму идею никто отменять не собирается.

Более того, в министерстве уже подтвердили: платить придётся за всю электронику, которая поступает на российский рынок, независимо от того, произведена она в России или ввезена из-за рубежа.

Напомним, ранее Минпромторг предложил установить фиксированные ставки техсбора: 250 рублей за смартфон и 500 рублей за ноутбук. Также сбор затронет другую электронику и средства связи. Деньги будут поступать в федеральный бюджет и направляться на поддержку отечественной радиоэлектронной промышленности.

Сам механизм выглядит жёстко. После ввода товара в оборот через систему «Честный ЗНАК» сумма сбора будет рассчитываться автоматически. На оплату дадут десять дней, а продавать устройство разрешат только после подтверждения платежа.

Власти рассчитывают собрать с помощью нового механизма около 218 млрд рублей. По оценкам Минфина, уже за первые четыре месяца действия сбора бюджет может получить около 20 млрд рублей, а в 2027–2028 годах сумма поступлений превысит 190 млрд рублей.

Бизнес к инициативе относится без особого энтузиазма. Представители отрасли предупреждают, что авансовая схема создаст дополнительную нагрузку на оборотные средства компаний. А эксперты напоминают о простом экономическом законе: если появляется новый обязательный платёж, рано или поздно его стоимость оказывается в ценнике для покупателя.

В Минпромторге обещают вводить техсбор постепенно. Сначала он затронет готовую электронику — смартфоны, ноутбуки и другие устройства, а затем может распространиться и на электронные компоненты. Перед этим чиновники обещают провести дополнительные консультации с рынком, чтобы избежать двойного налогообложения.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!