29 sep. 2014

#Celebgate: Apple sabía de las vulnerabilidades de iCloud y desestimó los errores

Meses antes de que se conocieran las revelaciones de las fotos de las famosas de Hollywood, un investigador de seguridad realizó múltiples reportes a Apple sobre las vulnerabilidades en el servicio iCloud de la compañía a través de ataques de fuerza bruta contra las contraseñas.

The Daily Dot reportó que Ibrahim Balić envió las descripciones de la vulnerabilidad a Apple en marzo pasado, además de presentar un informe sobre que el filtrado datos de usuario podía utilizarse para montar este tipo de ataques.

En un correo electrónico del 26 de marzo, Balić informó a Apple:
He encontrado un nuevo problema sobre cuentas de Apple (sic)... A través de un ataque de fuerza bruta, se puede intentar más de 20.000 veces la contraseña de cualquier cuenta. Creo que probablemente debería aplicarse un bloqueo de cuenta. Adjunto una pantalla. He encontrado el mismo problema en Google y ya tengo respuesta de ellos.

El empleado de Apple respondió: "Es bueno saber de ti. Gracias por la información".

Balić también informó del fallo a través las peticiones utilizando la API del servicio de iCloud vía HTTPS y mediante el cual se explota el parámetro "Authorization" de la solicitud Web, enviado un ID de cliente de iPhone falso y un token de Apple iCloud:


Apple respondió en mayo desestimando la vulnerabilidad porque "tomaría un tiempo extraordinario encontrar un token de autenticación válido para una cuenta".

Lo resultados están a la vista, sino pregúntenle a las famosas y usuarios afectados.

Fuente: Arstechnica

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!