Hace pocas horas nos encontrábamos con el escándalo de que fotos desnudas o pornográficas de cientos de personalidades famosas habían acabado en la red a través del foro 4Chan, donde se aseguraba que un bug de iCloud había permitido entrar en las cuentas y los dispositivos de las afectadas. Desde entonces las fotos han llegado a todo tipo de redes sociales; en reddit el post que las reúne se ha convertido en el mas popular de las últimas horas.  La polémica estaba asegurada, y ya que Apple todavía no ha emitido un comunicado público, también hay cierta confusión sobre lo que es seguro y lo que no en iOS. Ahora gracias a un proyecto en github se ha descubierto el posible bug usado para obtener las fotografías.

Find My iPhone era inseguro hasta hace pocas horas

findmyiphone

Justo un día antes de la filtración de fotos la comunidad hacker encontraba un bug en la API del sistema de localización Find My iPhone; esa funcionalidad es una de los principales puntos a favor de usar los servicios online de Apple, ya que como su nombre indica nos permite encontrar la posición de nuestro dispositivo en caso de pérdida o robo. El problema estaba en la implementación del sistema de inicio de sesión, que a diferencia de otros servicios de la compañía no tenía protección contra los llamados ataques de fuerza bruta. Ese tipo de ataques se llaman así porque no hay gran cosa detrás de ellos: simplemente consisten en probar una y otra vez todas las contraseñas que existen hasta que se encuentra la correcta. Es el equivalente a probar a abrir una puerta con todas las llaves que hay en el mundo, una por una.

Cualquier servicio actual decente es inmune ante estos ataques y bloquea al atacante después de cierto número de intentos, pero lo que descubrieron los hackers era que Find My iPhone carecía de esa protección; inmediatamente fue lanzada una herramienta sencilla llamada iBrute que permite explotar esta vulnerabilidad para conseguir acceso a cualquier cuenta. Apple estuvo rápida y aplicó un parche pocas horas después, pero ese corto periodo de tiempo puede que sea todo lo que necesitase un hacker para hacerse con las fotos mas comprometidas de varias celebridades.

4chan-fotos

Por una parte es una buena noticia que este serio bug esté solucionado pero por otra es inexcusable que una compañía de la talla de Apple permitiese ataques de fuerza bruta en los tiempos que corren. Además, hay que recordar que esto son solo elucubraciones basadas en que el descubrimiento del bug y la filtración de las fotos se produjeron una detrás del otro. Es perfectamente posible que el hacker haya usado otro método, pero como Apple no ha dicho ni pío y el hacker no ha querido explicar su método, es todo lo que podemos plantearnos.

Fuente | iBrute en github | ZDNET |