El fin de semana se dio a conocer que varias fotos privadas de algunas celebridades fueron hackeadas de sus iPhones. Esto ocurrió por una vulnerabilidad del servicio iCloud de Apple, que permitió el acceso a la mismas. Al parecer, un script de Python, parece ser que fue el culpable de que alguna gente “ociosa” haya aprovechado esta debilidad para poder usar la contraseña del servicio en la nube de Apple, debido a la vulnerabilidad presentada en la app “Find my iPhone”. Los ataques por “fuerza bruta” consisten en usar scripts maliciosos repetidas veces hasta adivinar la contraseña correcta.
La vulnerabilidad de “Find my iPhone” permitió que los atacantes usaran este método varias veces sin alertar a los usuarios o bloquear el equipo, lo que ocurre de forma habitual cuando al usuario se le olvida la contraseña. Una vez que se adivina, el atacante puede usarla para acceder a otras funciones que tiene iCloud, sin ningún problema.
Apple ya tuvo conocimiento de este hecho y ya parchó el hueco de seguridad, por lo que ahora, al intentar acceder a la cuenta, a la quinta vez, se bloquea la misma.
Sin embargo, el creador de Hackapp, la herramienta usada para adivinar la contraseña, considera que el servicio de iCloud tiene más fallos de seguridad, aunque no tiene evidencia que se haya usado el método de la Fuerza bruta en el ataque hecho a las cuentas de los famosos, ya que no hay evidencia que las imágenes se hayan filtrado por iCloud y que se hayan obtenido por varios ataques, aunque no descarta que se pueda haber hecho de dicha forma (el hacker aseguró que se usó iCloud como medio para obtener el acceso a las fotos).
Hasta ahora Apple no ha querido emitir ningún comentario respecto a la vulnerabilidad.
Fuente: My Next Web