Un nuevo error de seguridad en iCloud ha dejado en entredicho los esfuerzos de Apple por asegurar el sistema de sincronización de sus iPhone y iPad. Un programador bajo el pseudónimo Pr0x13 publicó en GitHub una herramienta que permitía probar contraseñas aleatoriamente para cuentas de iCloud llamada iDict.
Aún con Celebgate en mente, esta herramienta permitía elegir atacar una cuenta de iCloud basándose en una larga lista de un archivo de texto. Usuarios de Reddit confirmaron que con cuentas de prueba, lograron acceder, pero Apple ha reaccionado rápido y estableció un límite de intentos.
Seems we are Patched!! Reports are that as of now its still working for some, but all other's expect a Locked account. Cheers! #2015 #iDict
— @pr0x13 January 2, 2015
La herramienta tan sólo necesitaba un pequeño servidor web local y cURL, una herramienta para transferir archivos desde la consola de comandos. En la simple página que la herramienta proporciona, tan sólo debías escribir el correo de una cuenta iCloud y esperar a que la contraseña que esté en la lista fuese correcta.
La herramienta sigue disponible en GitHub y es muy simple. Demasiado.
Apple bloqueó el número de peticiones como forma rápida de acabar con este fallo de seguridad, pero esta herramienta es demasiado similar a la que se podría usar para acceder a las cuentas de famosas en el llamado "Celebgate". Se supone que Apple no permitía probar una y otra vez contraseñas de forma aleatoria para una cuenta, por eso es tan preocupante que esta herramienta funcionase, ya que el truco estaba en que simulaba ser un dispositivo con iOS.
Por supuesto, esto tan sólo permitiría conocer la contraseña que ya debería estar definida en una larga lista, por lo que los atacantes usarían personas con pocos conocimientos de seguridad en Internet. Tampoco serviría de mucho si tienes la verificación en dos pasos activada en las cuentas de Apple.
No hay comentarios:
Publicar un comentario