iCloudにパスワード総当たり攻撃を行うハッキングツール「iDict」が、GitHubで一般公開されました。
phpで作成されたシンプルなツールで、ある程度のWebの知識さえあれば誰でも使用可能となっています。
公開したのはPr0x13というハッカー。同氏は、iCloudのセキュリティホールが一部のハッカーのみで悪用されるより、Appleが修正を行わざるを得ない状況を作った方が安全だと考えて、このツールを一般公開したといいます。(この手法は最近のトレンドらしい)
iCloudに関しては、昨年、ハリウッドセレブのアカウントが大量にハッキング被害に遇い、プライベートな写真がネット上にバラ撒かれるという事件がありました。それを受けて、iCloudでは短期間に一定回数以上間違ったパスワード入力が行われた場合、アカウントをロックするセキュリティ機能が備わっていますが、実はこの機能には単純なセキュリティホールが存在していて、このツールを使えばロックを無視して無制限に総当たり攻撃が行えるということです。
Apple IDを入力すると、filesフォルダにあるwordlist.txtに記述されたパスワードのリストで総当たりが行われ、リストに該当するパスワードがあった場合、iCloudにログインされてしまいます。ただし、デフォの状態ではPassword1やP@ssw0rdといった単純なパスワードが500種類記述されているのみで、1Passwordなどで生成した安全性の高いパスワードならまず突破される心配はありません。
しかし、パスワードを追加してリストを強化する事もできるので、Appleがこのセキュリティホールを修正しない限りは、Apple ID / iCloudがハッキング被害や不正ログインの被害に遭う危険性は常に付きまといます。
- Download Pr0x13/iDict · GitHub
