ادعای نادرست اپل درباره‌ی ذخیره‌ی گذرواژه‌ها در iCloud

موسسه خبری سایبربان: اپل مدعی است که سرویس iCloud Keychain می‌تواند گذرواژه‌ها را بدون نیاز به ذخیره‌سازی در سامانه‌ی ابری، در میان دستگاه‌های مختلف هم‌گام کند. اگر چنین گفته‌ای صحت داشته باشد می‌توانیم بگوییم پیشرفت شگرفی در عرصه‌ی مدیریت گذرواژه‌ شکل گرفته است.

به این ترتیب کاربران می‌توانند گذرواژه‌های طولانی و پیچیده را برای روی یک دستگاه ایجاد نموده و آن‌ها را بدون نیاز به ذخیره‌سازی در کارگزار اپل، به‌طور خودکار با سایر دستگاه‌های خود هم‌گام نمایند.
امروزه بیشتر نرم‌افزارهای مدیریت گذرواژه، با ذخیره‌ی داده‌ها در یک سرویس ابری گذرواژه‌ها را هم‌گام می‌نمایند. اما راه‌هایی وجود دارد که به واسطه‌ی آن‌ها می‌توان گذرواژه‌ها را بدون تکیه به یک حافظه‌ی ابری به‌صورت مستقیم میان دستگاه‌ها هم‌گام کرد؛ به عنوان مثال می‌توان از قابلیت هم‌گام‌سازی وای‌فای در جدیدترین نسخه‌ی Password کمک گرفت. اما این کار مستلزم پیمودن برخی مراحل اضافه است که از راحتی کار با یک مدیریت گذرواژه‌ی خوب می‌کاهند. متأسفانه به نظر می‌رسد ادعای اپل مبنی بر حل این مشکل صحت نداشته باشد.

یک کاربر برای ایمن‌سازی iCloud Keychain سه راه در اختیار دارد؛ keychain، که دربرگیرنده‌ی شناسه و گذرواژه‌‌ی وب‌گاه‌ها، اطلاعات کارت اعتباری و مواردی از این قسم است، می‌تواند با یک رمز عبور چهار رقمی ساده امن شود. این گزینه‌ی پیش‌فرضی است که به کاربر ارائه می‌شود، به همین دلیل بسیاری از کاربران دخل و تصرفی در آن نمی‌کنند. با این قابلیت، هرگاه کاربر دستگاه iOS یا مک جدیدی را به iCloud اضافه کند، می‌تواند با وارد کردن یک پین،  keychain خود را از کارگزارهای اپل بازیابی نماید. درواقع می‌بایست این پین به علاوه‌ی گذرواژه‌ی iCloud کاربر وارد شود. اگر کاربر پین خود را از یاد ببرد، می‌تواند دستگاه جدید را از طریق دستگاه مورد تأیید قبلی به سامانه بشناساند.

گزینه‌ی دوم برای ایمن‌سازی iCloud Keychain مشابه مورد نخست است، با این تفاوت که کاربر می‌تواند به جای پین چهار رقمی، گذرواژه‌ی طولانی‌تری را که از حروف، ارقام و سایر نویسه‌ها تشکیل شده، انتخاب نماید. در نهایت، کاربر می‌تواند از گذرواژه‌ یا پین برای ایمن‌سازی Keychain استفاده نکند و قابلیت پذیرش دستگاه جدید به واسطه‌ی رمز عبور را حذف نماید.

محققان تصمیم گرفتند ادعای اپل، مبنی بر اینکه اطلاعات keychain  به‌صورت «فقط محلی» ذخیره می‌شوند، بیازمایند. آن‌ها با ایجاد یک حساب کاربری جدیدِ اپل و ورود به یک جلسه‌ی کاری متعلق به کاربر تازه در مک، iCloud Keychain را راه‌اندازی نموده و از گام ایجاد کد امنیتی iCloud صرف‌نظر کردند. سپس با حساب کاربری مشابه بر روی آی‌پد نیز iCloud Keychain را نصب کردند. از آنجایی که آن‌ها کد امنیتی را انتخاب ننمودند، ملزم به شناساندن آی‌پد از طریق مک بودند. در طول این راه‌اندازی، مک و آی‌پد به‌طور هم‌زمان به اینترنت متصل بودند.

در این مرحله، فهرست گذرواژه‌های ذخیره‌شده‌ی آی‌پد، که در Settings/Safari/Passwords & AutoFill/Saved Passwords قرار دارد، خالی بود. پیش از انجام هر کار دیگری، وضعیت آی‌پد را به حالت پرواز تبدیل کردند و اتصال آن را از اینترنت قطع نمودند. سپس از طریق سافاری در مک وارد وب‌گاهی شدند. همان‌طور که پیش‌بینی می‌شد با پرسش مرورگر مبنی بر تمایل به ذخیره‌ی گذرواژه‌ در iCloud Keychain مواجه شدند. سپس وای‌فای مک را خاموش کرده و اتصال آن را از اینترنت قطع کردند.
از آنجایی که تصور می‌شد گذرواژه‌ها «فقط محلی» ذخیره شده‌اند، نمی‌بایست بدون اتصال به دستگاهی دیگر قادر به هم‌گام شدن با آن می‌بودند. در ادامه محققان حالت پرواز را در آی‌پد خاموش کردند و به نتیجه‌ی دل‌خواه خود رسیدند! در عرض چند ثانیه اطلاعات iCloud Keychain روی آی‌پد به‌روز شد.

جای تعجب وجود ندارد؛ هم‌گام‌سازی گذرواژه‌ها در ابر دقیقاً همان‌ چیزی است که از نحوه‌ی عمل‌کرد iCloud Keychain انتظار می‌رفت. نکته‌ی تعجب‌برانگیر ادعای اپل در خصوص کارکرد متفاوت iCloud Keychain با انتخاب روی‌کردهای مختلف برای محافظت از اطلاعات است. هیچ‌یک از پنجره‌های محاوره‌ی OS X یا iOS مبین این ادعا نیست که iCloud Keychain می‌تواند گذرواژه‌ها را بدون نیاز به ابر هم‌گام کند، به همین سبب می‌توان حدس زد که این گفته فقط یک اشتباه لفظی بوده است.