Редактор Mashable Кристина Уоррен в качестве эксперимента попробовала взломать собственный аккаунт iCloud и получить доступ к содержимому своего iPhone и iPad. У нее получилось это сделать с помощью программы Elcomsoft Phone Password Breaker, за которую она заплатила 200 долларов. Программа подбирает пароль пользователя к iCloud и переносит информацию из хранилища Apple в другое облако — например, в Google Drive или Dropbox. Данные передаются в незашифрованном виде, а пользователя не спасает даже двухфакторная авторизация — она здесь попросту не предусмотрена.
После того, как Phone Password Breaker подберет пароль, открывается окно, в котором можно выбрать, какие типы данных следует сохранить: история звонков и сообщений, список контактов, заметки, фотографии и видео и так далее. Уоррен признается, что у нее был очень простой пароль, поэтому программа быстро его подобрала.
Разработчики Phone Password Breaker добросовестно предупреждали Apple об уязвимости iCloud еще в мае 2013 года. Они даже провели презентацию, на которой был успешно осуществлен взлом, но никакой реакции от купертинской компании не последовало.
У Elcomsoft также есть «профессиональная» версия Phone Password Breaker, которая стоит 400 долларов. С ее помощью можно получить доступ к чужому хранилищу без подбора пароля — достаточно на минуту получить физический или удаленный доступ к компьютеру жертвы, и данные с iCloud уйдут в другое облако. Те, кто занимается такими взломами, наверняка даже не тратят деньги на покупку этого софта, а используют его пиратскую версию с торрентов.
Phone Password Breaker это лишь одна из программ для взлома iCloud, подобных выпущено около десятка. Обезопасить себя от взлома на сто процентов невозможно до тех пор, пока в Apple не подойдут к вопросу защиты пользовательских данных серьезно. Для этого достаточно защитить доступ к iCloud полноценной двухфакторной авторизацией и моментально оповещать пользователя, когда кто-то пытается зайти в облако из необычного места или с нового устройства.
Справедливости ради стоит отметить, что и Google недостаточно ответственно подходит к сохранению конфиденциальной информации. С помощью приложения «Удаленное управление Android» можно посмотреть, где в настоящее время находится почти любой пользователь Android-устройства. Для этого нужно знать адрес его электронной почты и пароль. Двухфакторная авторизация в этом случае тоже игнорируется.