Las consecuencias del hackeo de cuentas de iCloud de personalidades famosas siguen dando que hablar; lo último que hemos sabido es incluso mas grave, ya que entre las fotos que se han publicado es posible que haya fotos de cuando las famosas eran menores de edad, por lo que incluso podríamos estar ante un delito de pornografía infantil. Mientras tanto Apple sigue a lo suyo, con una declaración ayer en la que recordaba a los usuarios que usasen contraseñas seguras. Ahora una nueva revelación apunta a un nuevo método para obtener este tipo de material privado, aprovechándose de una herramienta ideada para la policía de todo el mundo, como ha revelado Andy Greenberg de Wired en un artículo de investigación en el que ha contactado con varios hackers, expertos de seguridad y usuarios del foro Anon-IB.

Una herramienta peligrosa

eppb

Se llama Elcomsoft’s Phone Password Breaker, o EPPB, y como su nombre indica fue desarrollado por la firma forense moscovita Elcomsoft para ser vendida como “la solución ideal para fuerzas de la ley y organizaciones de inteligencia”; con esta herramienta la policía y servicios de espionaje gubernamentales pueden acceder a los datos y fotografías de víctimas o sospechosos. No se trata de algo nuevo ya que lleva años a la venta, pero la necesidad de conocer al menos algunos datos del objetivo hace que realmente no sea tan sencillo de usar. Sin embargo, usando esta herramienta junto con los bugs de iCloud los hackers del foro Anon-IB han conseguido acceso a mas cuentas de famosas; durante estos últimos días los ataques se han popularizado entre los usuarios que quieren ver la vida privada de su actriz, deportista o artista favorita.

“Usa el script para hackear su contraseña… usa eppb para descargar la copia de seguridad. Postea tus “wins” aquí ;-)” usuario del foro Anon-IB

El “script” al que se hace referencia es iBrute, la herramienta de ataques de fuerza bruta desarrollada hace un par de días; en teoría Apple ha cerrado el bug que permitía este tipo de ataques, pero que esta herramienta siga usándose indica que hay algo mas que se han saltado. Además, EPPB permite obtener datos de una cuenta sin necesidad de saber su contraseña, obteniendo el token de identificación de un PC o Mac con el que se haya sincronizado el dispositivo. Por lo tanto si el atacante tiene acceso al ordenador que usamos normalmente para sincronizar nuestro iPhone, podrá acceder a nuestra cuenta sin ni siquiera intentar averiguar la contraseña. Evidentemente todo esto es algo que Apple sabe.

anon-ib-1

Hay detalles que apuntan a que algunas de las fotos mas compartidas entre los usuarios han sido obtenidas de esta manera. Según Jonathan Zdziarski, experto en seguridad, los metadatos de las fotografías compartidas de la modelo Kate Upton indican que han salido de las copias de seguridad de iCloud obtenidas con este método; en dicha copia de seguridad no solo hay fotos, sino también datos de contacto e información que puede ser usada para chantajear o acceder a las cuentas de otras víctimas. Y esta es solo una de las herramientas disponibles, con otras compañías como Oxygen o Cellebrite especializadas en ingeniería inversa y en productos para la policía. Al menos en teoría, ya que EPPB no requiere ningún tipo de licencia gubernamental para su compra y no es complicado encontrar copias piratas en la red.

¿Reaccionará Apple de alguna manera ante esta información? Por el momento en las últimas horas se ha hecho público que la compañía no permitirá a las apps guardar información médica en iCloud, aunque es poco probable que esa sea una reacción ante los hackeos y mas un acto de guardarse las espaldas por lo que pudiera ocurrir.

Fuente | Wired | TMZ | 9to5Mac