Así se hizo el ataque al iCloud de Jennifer Lawrence y otras famosas

JENNIFER-LAWRENCE-6


Hace un par de días apareció un script en GitHub, que fue creado para atacar  iCloud gracias a una vulnerabilidad en el servicio de “Find My iPhone”. El script está diseñado para realizar fuerza bruta con un ataque de diccionario, uno de los ataques más básicos, donde el programa malicioso va probando contraseñas de una lista hasta encontrar la correcta.

github_icon-224de83a21f067b21c5d3ef55c3c0d61Lo anterior quiere decir que el agujero de seguridad en Find My iPhone permitía a el atacante probar el diccionario, sin ningún tipo de restricción, candado o alerta al usuario. Lo cual nos deja con mucho que pensar, ya que ataques de este tipo, siendo los mas sencillos, debe ser los primeros que se toman en cuenta para cuidar a los usuarios de un servicio, así que es increíble encontrar que no hubiese existido ningún candado para dar seguridad ante un ataque de este tipo.

Como ya sabemos, hace un par de días se dieron a conocer fotografías íntimas y videos de distintas féminas famosas. Algunas de ellas han desacreditado las fotografías, algunas otras han aceptado, sin decirlo, que se trata de ellas, y otras más no se han pronunciado al respecto. No está confirmado por parte de Apple que un ataque a iCloud haya ocasionado el robo a archivos personales a las celebridades, pero un par ya confirmaron que sus archivos estaban alojados ahí, incluso habían sido borrados por ellas mismas.

En cuanto a las investigaciones, el FBI asegura que está trabajando para llegar a los que filtraron el contenido, e investigar como se llevó a cabo el ataque. Del mismo modo Apple anunció que se encuentra investigando los hechos, y saber a ciencia cierta si es que se realizó un ataque a las cuentas y si  es que en realidad fueron hechos a la plataforma de iCloud, cosa que parece ser totalmente cierta, aunque no se haya confirmado, pues los mismos que dieron a conocer las fotos dijeron que fue un ataque al servicio mencionado.

 

Qfhbjr4Regresando al ataque a iCloud,  para poder aprovechar el supuesto fallo, lo primero que se debe tener es el ID de la víctima y un diccionario, archivo que contenga una lista de passwords que serán probados con el ID.  Se prueba el script, que va combinando el ID, con cada uno de los passwords, y si es que no hay un mecanismo de seguridad implementado, la tarea es prácticamente cosa de esperar.

Lo anterior quiere decir, que la contraseña del usuario objetivo debe encontrarse dentro del diccionario, si no es así, obviamente el ataque falla. Para realizar fuerza bruta, entonces, es necesario que la víctima utilice una contraseña común o muy fácil, cosa que facilita el trabajo al atacante.

Para muchos, resulta difícil pensar como consiguieron los datos del ID de las víctimas, y si es que no fue un ataque de este tipo, entonces ¿como consiguieron los archivos? Existen formas, y hay muchas teorías que podrían explicar a la perfección todo el proceso, incluso porque no hubo notificaciones por parte del servicio de Apple, etc.

 

Hguide-findmyiphone-appemos pasado algún tiempo platicando con el equipo lo elaborado, y colaborativo que debió haber sido el ataque, pues para empezar conseguir el nombre de la cuenta no es tarea sencilla, pero coincidimos y muchos de nosotros pensamos varias formas que podrían usarse para obtener los datos, no es tarea sencilla, pero es posible.

Existe, también la posibilidad, de que el ataque consistiera en sacar archivos de otra plataforma diferente a iCloud. Un claro ejemplo es que cuando instalas Dropbox en iOS, te da la opción de ir guardando, automáticamente las fotos que tomes, en tu cuenta, esto quiere decir, que si tienes la contraseña  y es la misma para ambos servicios, puedes encontrar los archivos, aunque del dispositivo ya hayan sido eliminados.

Muchos afirman que el agujero en la seguridad ya fue parcheado. Al probar el scrip nos damos cuenta que a los 5 intentos el acceso se bloquea, cosa rara, pues si tenemos el ID de alguien, bien podríamos bloquear su cuenta haciendo intentos fallidos. Oficialmente, la falla ya ha sido corregida, el mismo autor del script lo confirmó.

Screen-Shot-2014-09-01-at-10.15.29-pm

 

En el siguiente post les daremos a conocer el script y el diccionario del ataque para que comprendan como funciona.

Descargar este artículo en PDF

Lo sentimos, esta opción solo está disponible para los socios. Más información de nuestro grupo de socios.


Crespo
Gustoso de temas relacionados al mundo tecnológico en general. Desarrollador en el ámbito de la robótica. Crítico de todo e indagador de las verdades existentes ahí afuera.

Déjanos un comentario: