2 sept 2014

¿El hack a las famosas está relacionado con I Find my iPhone?

Durante este fin de semana se han filtrado cientos de imágenes de celebridades desnudas. Ahora, según informa The Next Web, parte de la culpa de la filtración la ha tenido un fallo en iCloud y una vulnerabilidad en "Find My Phone".

Un script Python llamado iBrute apareció en Github y "aparentemente permitía de forma maliciosa a los usuarios usar 'fuerza bruta' para obtener la contraseña de iCloud de una cuenta", han dicho.

El script utilizaba una vulnerabilidad de Find My Phone, la aplicación que permite localizar el móvil de forma remota, que adivina contraseñas de forma repetida hasta que logra dar con la correcta. Por lo general, cuando una cuenta en iCloud detecta dos visitantes, se bloquea. Pero la vulnerabilidad de Find My Phone podría haber dado carta blanca. En teoría, el bug en la API de la aplicación permitía todo el proceso. TNW señala que el script estuvo dos días en Github antes de que fuese descubierto. Ya Apple ha "parcheado" este lunes el bug.

Lo que estamos viendo en la imagen de la derecha es un iPhone que ha sido bloqueado remotamente por "Oleg Pliss",  un Ransomware ejecutado mediante iCloud y que afecta a dispositivos iPhone de Apple y que usan la función de "Buscar mi iPhone".

Este tipo de malware está impactando a los usuarios de iCloud australiano y hasta la fecha, no hay ninguna razón clara y sólo hay especulación general en el sitio web de Apple.

¿Cómo funciona I Find my iPhone?

Cuando el dispositivo ejecuta la aplicación y se denuncia el teléfono para colocarlo en modo "perdido" se puede ver el estado durante las últimas 24 horas.

Una vez "perdido", se puede enviar un mensaje al propietario o se puede reproducir un sonido y/o borrar remotamente todos los datos. Si el dispositivo está desaparecido, lo recomendable es colocarlo en "modo perdido" para que el mismo se bloquee inmediatamente e ingresar un código de cuatro dígitos para evitar que nadie puedan acceder a us información.
Y eso es todo. Si una persona honesta encuentra el teléfono no será capaz de acceder a sus datos, tendrá un mensaje y un medio de contacto para devolverlo.

En cambio si eres un delincuente con acceso a alguien con datos en iCloud, puede pasar lo siguiente.

¿Cómo se ejecutan los ataques sobre iCloud?

La evidencia en este momento sugiere que los atacantes están utilizado el proceso anterior para bloquear remotamente los dispositivos y luego exigir dinero a cambio para desbloquear el dispositivo (por supuesto, como la víctima tiene el dispositivo bloqueado, tendría que utilizar la máquina de otra persona para enviar el pago).

Troy Hunter hizo una demostración del ataque utilizando un iPhone 5 simulando al atacante y un iPhone 4 de la víctima. El ataque podría ser más sofisticado y automatizado, pero sirve para entender el proceso usando la función prevista de iCloud para encontrar el iPhone.

El atacante compromete primero la cuenta de iCloud de la víctima, generalmente a través del uso de contraseñas débiles y compartidas con otras aplicaciones. Una vez que se tiene acceso, se ejecuta la aplicación "I Find My iPhone" en el dispositivo y se inicia la sesión en nombre de la víctima. Desde aquí se pueden ver todos los dispositivos de la víctima incluyendo dónde están físicamente localizado (suponiendo que están encendidos y que tienen comunicación a Internet).

¿Existe una vulnerabilidad en iCloud?

La primera cosa que se asume una vez que el dispositivo es bloqueado es que de alguna manera, Apple es el culpable. ¿Es una vulnerabilidad en iCloud?.

La declaración de Apple es que se "toman la seguridad seriamente" y ha negando cualquier compromiso de iCloud, dando a entender que las credenciales de los usuarios son débiles y ellos son los culpables.
 
Personalmente creo que es menos probable que iCloud tenga una vulnerabilidad, pero la respuesta es desdeñosa y no hace mucho por tranquilizar a sus clientes. Sin duda están investigando el caso a puertas cerradas y quizás en algún momento deseen responder con más detalle.

Algunas personas han especulado que este "hack a iCloud" está relacionada con los eventos de las famosas de esta semana pero este ataque brinda la posibilidad de bloquear los teléfonos pero no necesariamente robar información del mismo. Tal vez haya una conexión en alguna parte, pero por ahora estos dos incidentes parecen no estar relacionados.

Actualización 18:00: Según Apple y luego de 48 horas investigando el caso, han podido confirmar que "las cuentas de las víctimas fueron atacadas directamente, no fue culpa de ninguna vulnerabilidad de iCloud".

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!