[youtube=https://www.youtube.com/watch?v=IKKZfZUqk3I]

著名人のiCloudハッキング事件を受けて、ティム・クックCEOがメールでのログインアラートと2要素認証の再導入を約束してから4ヶ月以上が経過しましたが、Appleのログイン情報5件は依然としてシステムで保護されていません。Hackers  of NYの創設者ダニ・グラント氏は、ブログ記事で各脆弱性を動画で解説しました。

グラント氏は、未知のMacを使ってiMessage、iTunes、FaceTime、App Store、またはAppleのウェブサイトにログインする場合、2要素認証は不要であることを示した。グラント氏によると、5つのサービスのうち、未知のデバイスを使ってログインしたことを通知するメール通知を送信したのは1つだけだった。 

グラント氏は、Apple が電子メール通知を送信した唯一のサービスは FaceTime だと述べた。

なお、過去にも Apple は iMessage 向けに同様のメッセージを送信したことがありますが、現在 iTunes、App Store、Apple の Web サイトでは同様の保護は提供されていません。

iCloud の「ハッキング」では、サービス自体が侵害されることはなく、フィッシングと簡単に推測できるパスワードやセキュリティの質問の組み合わせに頼っていたが、技術に疎いユーザー（特に、答えを簡単に調べられる限られた数のセキュリティの質問から選択せざるを得ない有名人）に対するリスクに注目が集まった。

Appleは昨年6月にiCloud.comに2要素認証を短期間導入し、スキャンダル発生直後に再導入しました。しかし、グラント氏が指摘するように、他のAppleサービスには依然として脆弱性が残っています。

残りのビデオデモは Mediumでご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。