Cea mai grava incalcare a securitatii pentru Apple: 114.000 de posesori de iPad au fost compromisi
Apple a avut parte de inca o intamplare penibila. O incalcare a securitatii a expus proprietari de iPad, inclusiv zeci de directori ai unor importante companii, oficiali militari si politiciani de top. Ei – si orice cumparator al acestui dispozitiv – ar putea sa fie vulnerabili in fata reclamelor spam si spargerilor rautacioase de conturi.
Incidentul, care a aparut la doar cateva saptamani dupa ce un angajat de la Apple a pierdut un prototip iPhone intr-un bar, a dezvaluit cea mai exclusivista lista de e-maluri de pe planeta, o colectie de abonati la iPad 3G care include mii de persoane cheie din finante, politica si mass-media, de la directorul companiei New York Times, Janet Robinson, la Diane Sawyer de la ABC News, la mogulul de film Harvey Weinstein, la primarul Michael Bloomberg. Se pare ca pana si informatiile despre seful de stat major al Casei Albe, Rahm Emanuel, au fost compromise.
Si asta nu e tot. Potrivit informatiilor furnizate de un grup de securitate pe internet care a exploatat vulnerabilitatile retelei AT&T, credem ca 114.000 de utilizatori au avut conturile compromise, desi este posibil ca informatii confidentiale despre fiecare detinator de iPad 3G din Statele Unite sa fii fost expuse. Am contactat Apple pentru o declaratie, dar inca nu am primit nici un raspuns. De asemenea, ne-am adresat si companiei AT&T pentru a primi o declaratie. [AT&T a confirmat incidentul, iar FBI-ul a inceput o investigatie. Noutati mai jos.] Biroul lui Rahm Emanuel de la Casa Alba inca nu ne-a raspuns la telefoane.
Informatiile specifice expuse in cadrul incidentului includ adresa de e-mail, impreuna cu numarul de identificare folosit pentru autentificarea abonatilor AT&T, cunoscut sub denumirea de ICC-ID. Initialele ICC-ID semnifica card de identificare pentru circuitul integrat si este folosit pentru a recunoaste cardurile SIM care cupleaza un aparat de telefonie mobila cu un anumit abonat.
AT&T a inchis bresa de securitate acum cateva zile, dar victimele au fost in necunostinta de cauza pana acum. Pentru un dispozitiv care a fost pus in vanzare de doar doua luni, iar configuratia de celular a fost pusa la punct de o luna, acest incident este o intamplare uluitoare. Gafa pare sa apartina companiei AT&T, iar acest lucru va complica relatia destul de fragila cu Apple.
Desi bresa de securitate s-a limitat la serverele AT&T, Apple poarta responsabilitatea pentru asigurarea confidentialitatii utilizatorilor sai, care trebuie sa furnizeze companiei adresa lor de e-mail pentru a-si activa iPad-urile. Acest lucru este deosebit pentru ca utilizatorii de iPad 3G din Statele Unite nu pot sa-si aleaga compania de telefonie mobila – AT&T detinand exclusivitatea, cel putin pentru acum. Data fiind relatia stransa dintre iPad si reteaua AT&T, Apple are responsabilitatea de a verifica furnizorii de retea cu care alege sa se asocieze si carora le furnizeaza informatii despre clienti.
Pe langa complicarea relatiei dintre AT&T si Apple, bresa va nelinistii probabil si clientii, acestia gandindu-se de doua ori inainte de a cumpara iPad-uri care sunt conectate la reteauau AT&T. Iar acest lucru se va intampla intr-un moment crucial, iPad 3G fiind inca la inceputul ciclului sau de vanzari. Vanzarile ridicte ale originalului wi-fi iPad promiteau ca modelul 3G sa devina o sursa similara de profit. Dar noile semne de intrebare legate de AT&T, care este deja ridicularizat pentru serviciile proaste, vor determina oamenii sa se gandeasca mai mult inainte de a cheltui pana la 830 de dolari si 25 de dolari pe luna pentru un iPad 3G.
Detalii despre bresa de securitate: cine a facut-o, si cum
Informatiile despre abonati au fost obtinute de un grup care se autointituleaza Goatse Security. Desi grupul este adancit in cultura de internet off-the-wall, 4chan-style – numele sau este o referinta la o celebra poza socanta de pe Internet – el a mai adus si anterior in prim plan vulnerabilitati de securitate ale browser-elor Firefox si Safari, si a atras atentia mass-mediei asupra a ceea ce ei considerau erori in systemul de rating al comunitatii Amazon.
Goatse Security a obtinute datele prin intermediul unui script de pe website-ul AT&T, accesibil oricui de pe Internet. Atunci cand primea un ICC-ID ca parte dintr-o cerere HTTP, script-ul returna adresa de e-mail asociata acelui numai de identificare, in cadrul a ceea ce era aparent menit sa fie un raspuns de genul AJAX dintr-o aplicatie Web. Cercetatorii de securitate au fost capabili sa ghiceasca o mare parte din ICC-ID-uri uitandu-se la numere de identificare cunoscute ale iPad 3G, unele fiind aratate in poze postate de entuziasti ai gadget-urilor pe Flickr sau alte site-uri de Internet, si care pot de asemenea sa fie obtinute prin imprieteniri cu detinatori de iPad care sunt dispusi sa-si impartaseasca informatiile disponibile in cadrul aplicatiei de „Setari” ale iPad-ului.
Pentru a face serverele AT&T sa raspunda, grupul de securitate a trebuit doar sa trimita o cerere Web care sa contina un antet cu „User agent” in stilul iPad. Astfel de antete identifica tipul de browser al utilizatorilor pe site-urile de Internet.
Grupul a scris un script PHP pentru a automatiza culegerea de date. Deoarece un membru al grupului ne-a spus ca scriptul a fost impartasit cu terte persoane inainte ca AT&T sa inchida bresa, nu se stie cu siguranta cine este responsabil de cauzarea incidentului si ce au facut aceste persoane cu numele obtinute. Un membru ne-a spus ca probabil mai mult de 114.000 de conturi au fost compromise.
Goatese Security a informat AT&T despre bresa de securitate, iar aceasta a fost inchisa.
Am reusit sa stabilim autenticitatea datelor apartinand Goatse Security prin intermediul a doua persoane care au fost trecute pe lista celor 114.000 de nume. Am trimis acestor persoane ICC ID-ul din document – asociat persoanei cu contul de iPad 3G – si le-am rugat sa verifice in control panel-ul iPad-ului daca ICC ID-ul este corect. Era.
Victime: Cateva nume mari
Apoi, am inceput sa ne uitam prin cele 114.067 de nume si am fost surprinsi de ce am descoperit. iPad 3G, lansat cu doar doua luni in urma, a fost achizitionat de o serie de elite.
In cadrul armatei, am vazut cateva iPad-uri inregistrate domeniului apartinand DARPA, divizia de cercetari avansate a Departamentului de Aparare, impreuna cu importante ramuri de servicii. Una din persoanele afectate a fost Willian Eldredge, care este „comandantul celui mai mare grup operational B-1 [bombardier strategic] din Fortele Aeriene ale Statelor Unite.”
Din cadrul industriei de media si entertainment, conturile afectate apartin unor directori de la companiile New York Times, Dow Jones, Condé Nast, Viacom, Time Warner, News Corporation, HBO si Hearst.
In cadrul industriei de tehnologie, printre altele, au fost compromise conturi de la Google, Amazon, Microsoft si AOL. In fiinante, conturile apartineau unor firme precum Goldman Sachs, JP Morgan, Citigroup, Morgan Stanley si zeci de firme cu capital de risc sau capital privat.
In cadrul guvernului, conturile afectate au inclus un conturi de Gmail care par sa apartina lui Rahm Emanuel si angajatilor din Senat, din Camera Reprezentantilor, din Departamentul de Justitie, NASA, Departamentul de Securitate Interna, FAA, FCC si Institutului National de Sanatate. Zeci de angajati din cadrul sistemului tribunalelor federale apar pe lista.
Ramificatii
Cu siguranta exista si alti abonati de rang inalt care au fost prinsi in eroarea de securitate, impreuna cu utilizatori obisnuiti care acum au un motiv sa fie ingrijorati ca AT&T ar putea expune hackerilor mai multe din datele lor de pe iPad.
In cel mai optimist scenariu, AT&T a expus o imensa si valoroasa arhiva de adrese de e-mailuri. Acest lucru va afecta imaginea destul de slaba pe care compania o avea deja in randul posesorilor de iPhone si iPad, si va complica relatia foarte profitabila cu Apple. Ceea ce agraveaza situatia este ca AT&T nu si-a anuntat inca clientii despre bresa, asta rezultand din ceea ce am aflat de la cativa abonati atunci cand noi si grupul de securitate i-am contactat, in ciuda faptului ca AT&T a fost informata de cel putin doua zile. Inca nu se stie cu siguranta daca AT&T a informat compania Apple despre incident.
Apoi, mai exista intrebarea daca se pot cauza daune prin folosirea ICC ID-ului. Membrul din Goatse Security pe care l-am contactat noi era preocupat de faptul ca recentele gauri descoperite in stadardul telefonului GSM inseamna ca este posibil sa pacalesti un dispozitiv din retea sau chiar sa se intercepteze traficul utilizand ICC ID-ul. Alti doi experti in securitate pe care i-am contactat erau mai putini siguri de materializarea acestor posibilitati. Emmanuel Gadaix, consultant in securitatea mobilelor si veteran la compania Nokia, ne-a spus ca desi au existat „vulnerabilitati in criptarea GSM-urilor de-a lungul anilor, nici una nu a implicat ICC ID-ul… din cate stiu, nu exista vulnerabilitati sau metode de exploatare ce implica ICC ID-ul”.
Un alt expert, Karsten Nohl, hacker GSM „cu palarie alba” si doctor in stiinta calculatoarelor, ne-a spus ca desi securitatea mesajelor scrise si a vocii este slaba pe telefoanele mobile, „conexiunile dintre date sunt de obicei bine criptate… dezvaluirea ICC ID-ului nu are consecinte directe asupra securitatii”.
Dar asta nu inseamna ca AT&T a scapat de responsabilitate.
Este ingrozitor cum datele clientilor, mai exact, adrese de e-mail, sunt dezvaluite in mod neglijent de catre o companie importanta de telecomunicatii.
Credem ca multi din clientii AT&T vor fi de acord.
Cotidianul New York Times le-a transmis tuturor angajatilor sa „opreasca accesul la reteaua 3G de pe iPad-ul lor pana vor primi alte instructiuni”, timp in care inginerii si personalul de securitate vor investiga problema.
AT&T ne-a trimis o declaratie in care isi cere scuze pentru bresa si minimalizeaza severitatea impactul:
„Luni, AT&T a fost informata de un client de afaceri despre potentiala expunere a ICC ID-urilor lor de pe iPad. Singura informatie care poate fi obtinuta de pe ICC ID este adresa de e-mail asociata cu dispozitivul respectiv. Aceasta problema a fost ridicata la cele mai inalte niveluri ale companei si pana marti a fost corectata; in principal, am sistat functia care furniza adresele de e-mail. Persoana sau grupul care a descoperit aceasta bresa nu a contactat AT&T. Continuam sa investigam si vom tine la curent toti consumatorii ale caror adrese de e-mail si ICC ID-uri ar fi putut fi obtinute. Luam foarte in serios intimitatea clientilor si desi am rezolvat aceasta problema, ne cerem scuze clientilor care au fost afectati.”