Открытая уязвимость в icloud.com для социального инженеринга (решение)

    Опубликовано Andres - ср, 03/13/2019 - 23:25

    Дисклеймер. Это не статья как взломать чужой iPhone, из "Режима пропажи". Это информация к сведению всех обладателей iPhone полученная моим горьким опытом.

    Интересный факт: Я не первый, кто с этим столкнулся. Эта проблема уже была расписана в статье appleinsider.ru в далеком 14.04.2015. Но до сих пор (13.03.2019) эта уязвимость пользуется успехом у мошенников.

    Ссылка на статью от 2015: https://appleinsider.ru/iphone/kak-ne-stat-zhertvoj-moshennikov-esli-u-vas-ukrali-iphone.html

    Начну с конца.

    Как закрыть эту уязвимость Apple?

    Добавить небольшое сообщение в интерфейс сервиса Найти iPhone на сайте www.icloud.com, после того как пользователь нажимает на иконку "Режим пропажи".

    Скриншоты (извиняюсь за дизайн, скриншотами хочу передать суть решения).

    1 шаг. У человека пропал iPhone, он первым делом зайдёт на iCloud, в сервис "Найти iPhone" и нажмёт "Режим пропажи":

    1 шаг. Нажимает режим пропажи

    2 шаг. (решение, предостережение) Увидит информирующее сообщение о возможной отправки смс мошенниками.

    2 шаг. Видит информирующее сообщение о возможной отправки смс мошенниками.

    Продублирую текст сообщения:

    Обратите внимание! Это очень-очень важно.

    Сервис iCloud и функция "Найти iPhone" никогда не отправляет СМС. Если вы получили СМС, якобы от сервиса iCloud - это 100% мошенники, не в коем случае не переходите по ссылкам из смс и не вводите свои данные (логин и пароль iCloud, перейдя по этой ссылке).

    Примеры смс, название отправителей и адреса сайтов мошенников.

    Если бы я увидел такое сообщение, когда включал режим пропажи, я был бы предупреждён и вооружён.

     

    Но оказалось всё иначе. Я был безумно рад, что мой телефон нашли, зарядили, включили, и увидели сообщение с просьбой вернуть телефон (как я думал даже не телефон, а этот бесполезный кусок пластмассы, надёжно зазищенный технологиями Apple). В сообщение для нашедшего указал что готов дать вознаграждение. Реально готов был заплатить цену БУ такой же модели.

    Так вот, был безумно рад, что мне пришла такая СМС, сразу подумал, апл внедрили смс уведомление, что бы бытсрее уведомить пользователя, о том что его потерянный iPhone кто то нашел, я перешёл по ссылке в СМС, ввёл свой Apple ID, пароль...

    Спустя некоторое время обнаружил, что потерянный телефон больше не привязан к моему Apple ID. Прокрутил ещё раз цепочку. Всё проще простого: Нашедшие узнали пароль от эпл ID и с лёгкостью отвязали телефон от всего.

    Заказываю звонок от поддержки эппл, там говорят, что теперь не могут ничем помочь, только обращение в полицию.

    Полицию? Идиотски же я буду выглядеть в полиции со словами: я потерял iPhone помогите найти. В общем логично, в полицию можно было бы обратитсья если пропажа была связана с криминалом. А так я добровольно отдал телефон, никто насильно у меня его не забирал.

    Повторюсь. Это произошло из за того, что я слепо верил, что функция Найти iPhone уже отточена несколькими годами, и в ней не может быть не одной уязвимости. У меня не возникло ни единой мысли, что мне пишет не "Служба поддержки Apple", на сколько же я доверяю Apple.

    Кстати, вот текст сообщения которое я получил:

    live:map.online.phone:
    Уведомление функции "Найти iPhone": устройство iPhone SE Space Gray 64Gb было обнаружено в 15:22.

    Посмотреть последнюю геопозицию устройства на карте: icIoud.at/5n420u

    Служба поддержки Apple 

    Самое смешное, что отправитель был Skype. Но я был настолько рад и беспечен, что меня даже это не смутило.

    С другой стороны, если бы я проигнорил это сообщение, вряд ли бы мне вернули телефон. Скорей всего продолжали ждать, пока я перейду по ссылке. Это утешает. Но всё же осадок остался, что они могут им пользоваться без всяких ограничений. А я думал, что такое невозможно. " - Ведь это Apple". - А нет.

    В общем, это решение может спасти сотни устройств и их пользователей от мошенников. И объявить войну хитрецам, которые не хотят возвращать устройства их хозяевам даже за вознаграждение.

    Ладно у меня остался осадок. А у многих остался не закрытый кредит за уже чужой телефон ;))