Come han fatto gli hackers ad accedere ad iCloud?

icloud-security-risk-1024x426

Apple sta investigando su alcune violazioni di accounts iCloud che han permesso la diffusione su internet di foto piccanti di star americane. La portavoce Natalie Kerris afferma che Apple sta “investigando attivamente per scoprire il problema, poichè Apple ha molto a cuore la privacy dei propri utenti”.

La notizia sta facendo un grande scalpore perché le Star coinvolte nel furto sono di primo piano, tra le quali Jennifer Lawrence (protagonista di film come Hunger Games e X-Men), Kirsten Dunst (Spider Man), Wynona Ryder, le cantanti Avril Levigne e Rihanna, Mary Kate Olsen, Hilary Duff, Kim Kardashian, Aubrey Plaza, e molte altre.

Le foto rubate dagli account iCloud sono state successivamente pubblicate sulla famosa comunità di foto sharing 4chan e si sono poi diffuse ai social network come twitter. Alcune voci però affermano che molto prima le stesse foto fossero in vendita su un forum del deep web (la rete nascosta di internet raggiungibile col browser TOR)  e che qualcuno le abbia comprate per poi ottenere “fama” su 4chan.

Alcune foto sono recenti, secondo i metadati, quelle di Kate Upton ad esempio risultano essere scattate ad Aprile, mente quelle di Mary Elizabeth Winstead risultano essere vecchie e rubate molto tempo fa, come afferma la stessa attrice.

bkjrd9yx8ts2n1m5etm4

Apple non ha ancora rilasciato alcuna dichiarazione tecnica sul metodo che avrebbero usato gli hackers, ma le voci sula rete affermano che potrebbe essere stato usato un exploit chiamato iBrute (qui un link al sorgente per chi volesse addentrarsi nei tecnicismi).  Un exploit è un termine usato in informatica per identificare un codice che, sfruttando un errore del sistema o una vulnerabilità nel suo funzionamento, porta all’esecuzione di codice non previsto, il cui risultato può portare all’acquisizione dei privilegi di amministratore di un computer.

Pare che i dispositivi che usano l’applicazione Find My iPhone siano quelli vulnerabili, poichè l’app non contiene nessuna sicurezza contro gli attacchi brute force. Un attacco brute force (forza bruta) prevede che un software generi milioni di password e le provi a ripetizione fino a trovare quella giusta ed ottenere l’accesso alla macchina vittima. Solitamente questo attacco viene banalmente ovviato stabilendo un numero massimo di tentativi di accesso, o limitandone la frequenza. Pare che l’app Find My Phone ne fosse sprovvista.

2012103_Find_My_iPhone

Apple, nonostante non sia sicura che la falla provenga da iBrute e dall’app Find My iPhone ha rilasciato un’aggiornamento di sicurezza per quest’ultima.

Il recente evento ha fatto nuovamente discutere sulla sicurezza dei sistemi cloud e dell aprivacy che ne deriva. E voi? Vi sentite al sicuro a memorizzare i vostri ati personali su un computer a migliaia di chilometri di distanza, sapendo che amgari contiene un bug che mette a rischio i dati e la vostra privacy ?