Apple advirtió sobre la vulnerabilidad de fuerza bruta de iCloud 6 meses antes de Celebgate

Apple advirtió sobre la vulnerabilidad de fuerza bruta de iCloud 6 meses antes de Celebgate

Apple sabía ya en marzo de 2014 de un agujero de seguridad que dejaba vulnerables los datos personales de los usuarios de iCloud, según los correos electrónicos filtrados entre la empresa y un destacado investigador de seguridad.

Los correos electrónicos, obtenidos a principios de este mes por el Daily Dot y revisados ​​por varios expertos en seguridad, muestran Ibrahim Balic | , un desarrollador de software con sede en Londres, que informa a Apple de un método que había descubierto para infiltrarse en cuentas de iCloud.

La fuerza de la seguridad de Apple fue criticada a principios de este mes después de que cientos de fotos de desnudos de celebridades, supuestamente robadas de los servidores de iCloud, inundaron Internet. Si bien el exploit Balic dice que informó a Apple comparte un gran parecido con el exploit supuestamente utilizado en el llamado hack de 'Celebgate', actualmente no está claro si tienen la misma vulnerabilidad.

En un correo electrónico del 26 de marzo, Balic le dice a un funcionario de Apple que ha pasado por alto con éxito una función de seguridad diseñada para prevenir la & ldquo; fuerza bruta & rdquo; Ataques: un método utilizado por los piratas informáticos para descifrar contraseñas probando exhaustivamente miles de combinaciones de teclas. Por lo general, este tipo de ataque se vence al limitar la cantidad de veces que los usuarios pueden intentar iniciar sesión.

Balic continúa explicando a Apple que pudo probar más de 20.000 combinaciones de contraseñas en cualquier cuenta. & ldquo; Me gustaría informarle para que se solucione, & rdquo; el escribio. ( Nota del editor: Los correos electrónicos de Balic están escritos en inglés, que no es su primer idioma. )

Incumplimiento de Apple iCloud 4

Click para agrandar

Balic también informó de la vulnerabilidad utilizando la plataforma de envío de errores en línea de Apple, como se ve en la siguiente captura de pantalla:

Incumplimiento de Apple iCloud 3

Click para agrandar

En un correo electrónico con fecha del 6 de mayo de 2014, la vulnerabilidad reportada aparentemente permanece sin corregir, ya que un funcionario de Apple continúa cuestionando a Balic sobre los detalles de su descubrimiento.

& ldquo; Creo que el problema no se resolvió por completo. Seguían pidiéndome que les mostrara más cosas, & rdquo; Balic le dijo al Daily Dot.

Incumplimiento de Apple iCloud 2

Click para agrandar

Inicialmente se culpó a un agujero de seguridad en el servicio de almacenamiento en la nube de Apple por el hack de Celebgate. Según los informes, se cargó un script malicioso en el sitio web. GitHub a finales del mes pasado, según La próxima web, que pueden haber sido utilizados por piratas informáticos para comprometer cuentas de iCloud:

& ldquo; La vulnerabilidad supuestamente descubierta en el Encontrar mi iphone El servicio parece haber permitido a los atacantes utilizar este método para adivinar contraseñas repetidamente sin ningún tipo de bloqueo o alerta al objetivo. Una vez que la contraseña se ha encontrado finalmente, el atacante puede usarla para acceder libremente a otras funciones de iCloud. & Rdquo;

Poco después de que las fotos de Celebgate explotaran en la Web, Apple supuestamente parcheó la vulnerabilidad identificada en la publicación de GitHub. Sin embargo, la empresa negó que tuviera alguna relación con el evento Celebgate. El robo de las fotografías, un declaración de la compañía, insistió, no fue el resultado de 'ninguna infracción en ninguno de los sistemas de Apple, incluidos iCloud o Find my iPhone'.

Apple también expandió el uso de la verificación en dos pasos para proteger aún más las cuentas de iCloud. Los usuarios deben optar por aplicar la seguridad adicional, que requiere que ingresen un código de cuatro dígitos enviado por mensaje de texto cada vez que inician sesión.

Fotos de celebridades robadas, probablemente obtenidas antes de que Apple reforzara su seguridad, seguir apareciendo en línea . El sábado, se publicaron supuestas fotos de desnudos de Jennifer Lawrence, Kim Kardashian y otros en el sitio web 4chan. El FBI todavía está investigando el hack, según un reciente declaración de la agencia de aplicación de la ley.

El ataque iCloud de fuerza bruta de Balic no es su primer informe de vulnerabilidad a Apple. En junio de 2013, identificó una falla de seguridad en el Centro de desarrolladores de Apple. Según Balic, el sitio web fue retirado casi de inmediato, pero dice que su informe no recibió respuesta de la empresa. en un presione soltar emitido unos días después, Apple describió una 'amenaza de seguridad' y afirmó que 'un intruso intentó proteger la información personal de [desarrolladores registrados]'.

Descontento con la forma en que Apple manejó su informe y preocupado de que la policía estuviera investigando sus acusaciones, Balic se hizo público en forma de un comentario en un artículo de TechCrunch. Más tarde subió un YouTube video , que dice contiene pruebas de su descubrimiento.

Apple reconoció más tarde a Balic por informar de una vulnerabilidad de secuencias de comandos entre sitios (XSS) en su Página de notificación del servidor web .

Correos electrónicos de violación de iCloud de Apple


A principios de este mes, el CEO de Apple, Tim Cook, dijo que su compañía debería haber hecho más para alertar a sus clientes sobre problemas de seguridad.

'Cuando me aparto de este terrible escenario que sucedió y digo qué más podríamos haber hecho, pienso en la pieza de conciencia', le dijo al Wall Street Journal . 'Creo que tenemos la responsabilidad de aumentar eso'. Eso 'no es realmente una cuestión de ingeniería'.

Balic estuvo de acuerdo. 'Si Apple se hubiera tomado este problema más en serio, tal vez ese problema no hubiera surgido'. él dijo.

Apple no respondió a múltiples solicitudes de comentarios.

Ilustración de Jason Reed.