Hlavní navigace

Vážný bezpečnostní problém s možností resetu hesla u Apple

Daniel Dočekal

Dvoustupňové ověření, coby dodatečný bezpečnostní mechanismus pro Apple ID a iCloud, se ve skutečnosti stalo vážným bezpečnostním problémem. Pro každého, kdo ještě nezapnul tuto vlastnost u svého účtu.

Čerstvě zpřístupněná možnost dvoustupňového ověření pro Apple ID a iCloud se prostřednictvím nedostatku proměnilo ve vážný bezpečnostní problém. U účtu bez povoleného dvoustupňového ověření bylo možné provést reset hesla pouze na základě znalosti data narození či e-mailové adresy. Chybou byla možnost využití prostou kopii upravené adresy (URI) v rámci procesu odpovídání na bezpečnostní otázky k vynechání nutnosti zadání bezpečnostní otázky.

Reset hesla prostřednictvím stránky iForgot přitom umožňuje nastavit nové heslo a bezpečnostní nedostatek tak znamenal možnost okamžitého odcizení účtu. Nové dvoustupňové ověření je navíc dostupné pouze ve vybraných zemích (US, Velká Británie, Austrálie, Irsko a Nový Zéland) a případnému zneužití chyby se tak nebylo možné bránit. Případné pokusy o aktivaci pro řadu uživatelů přinesly pouze informaci o zařazení požadavku a nutnost počkat až tři dny.

EBF17 tip Braverman 2

Podle iMore.com Apple stránku iForgot nejprve znepřístupnilo a po novém zpřístupnění je bezpečnostní nedostatek opraven.

Zdroj: Apple rolls out fix for password reset security hole, iForgot site back up

Našli jste v článku chybu?