Apple habría sabido en marzo que su iCloud era vulnerable a ataques de fuerza bruta

Correo electrónico filtrado a los medios indica que Apple conocía la vulnerabilidad, mucho antes del hurto de fotografías de celebridades.

Cloud

El sitio The Daily Dot escribe que Apple ya en marzo sabía que las cuentas de iCloud estaban desprotegidas frente a ataques de fuerza bruta.

El experto en seguridad Ibrahim Balic dice haber informado a Apple que una estrategia tan simple como realizar intentos múltiples por adivinar las contraseñas de cuentas de iCloud permitiría a hackers apoderarse de las claves, por lo que recomendó a la empresa implementar una política de exclusión que salvaguardase a los usuarios.

En una comunicación de correo electrónico fechada 26 de marzo, Balic escribió: “He detectado una nueva situación relacionada con las cuentas de Apple.  Quise informarles, para que sea corregida. Este método de fuerza bruta me permite hacer 20.000+ intentos con distintas contraseñas, en cualquier cuenta de Apple. Pienso que deberían aplicar una política de exclusión”.

El mismo día, Apple confirmó haber recibido la información, enviada por Balic mediante el formulario oficial de notificación de bugs.

El tema fue considerado hasta el día 26 de mayo, en que un empleado de Apple quitó importancia a la situación, señalando que “tomaría una cantidad extraordinaria de tiempo generar un código válido de autenticación”.

Después de la filtración de fotografías de famosas, Apple se desentendió oficialmente de toda responsabilidad, e incluso el CEO de la empresa, Tim Cook, negó que Apple fuse responsable, recomendando de paso “mejor educación sobre seguridad entre los usuarios” como una forma de enfrentar el cibercrimen.

A pesar del encogimiento de hombros de Cook, Apple actualizó sus políticas de seguridad para iCloud, aplicando exactamente la protección sugerida por Balic.

Aparte de la alternativa de fuerza bruta, la empresa Elcomsoft asegura que su software fue utilizado para el hurto de imágenes de famosas desde cuentas de iCloud. Según la propia empresa, su software permite eludir el proceso de autenticación en dos pasos de Apple iCloud. El producto, denominado Phone Password Breaker, incluso permitiría adquirir datos de los dispositivos de Apple, “sin necesidad de tener la ID del usuario de Apple o su contraseña”.

En una nota de prensa de la empresa el pasado 17 de junio con motivo del lanzamiento de Elcomsoft Phone Password Breaker (EPPB), Vladimir Katalov, CEO de ElcomSoft, señalaba: “Hemos aprendido cómo pasar por alto la autenticación de usuario y contraseña al acceder a iCloud, agregando que “este es un importante logro de nuestros investigadores, al poder ofrecer a nuestros clientes forenses una herramienta que marca un hito”.

En declaraciones hechas hoy por Katalov a la BBC, al parecer el software de su empresa fue utilizado para filtrar comprometedoras imágenes de famosas.

Por su parte, Mykko Hypponen, director de investigación en F-Secure, cuestionó hoy la validez de la autenticación de dos pasos de Apple, señalando que ésta no es requerida para acceder a fotografías ni para restaurar copias de seguridad.

En junio, Elcomsoft recalcaba que EPPB “proporciona a la policía e investigadores acceso expedito, sin contraseña, a las cuentas de iCloud, sin demora y haciendo totalmente irrelevante el uso de la contraseña”.

La empresa ofrece una herramienta que permite extraer “de las Mac o PC de sospechosos”, los datos de autenticación, que a su vez hacen posible acceder a las copias de seguridad de iCloud, sin necesidad de utilizar la contraseña.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s