<img src="https://queue.simpleanalyticscdn.com/noscript.gif?collect-dnt=true" alt="" referrerpolicy="-when-downgrade"> ¿Qué tan fácil es hackear iCloud?
NeoTeo
Lisandro Pardo

¿Qué tan fácil es hackear iCloud?

¿Qué tan fácil es hackear iCloud?

Después del escándalo que ha generado la masiva filtración de fotos con famosas desnudas a comienzos de esta semana, y de las llamativas declaraciones de Apple sobre la seguridad en las cuentas afectadas, no son pocos los que han comenzado a preguntarse qué tan fácil es hackear y descargar respaldos completos de iCloud. De acuerdo a una reciente publicación que pertenece a Mashable, sólo se necesita una pizca de ingeniería social, y 200 dólares en software

La recientes declaraciones de Cupertino en relación a la fuga de fotografías con famosas en paños menores causaron un poco de escozor. Si bien reconoció que varias imágenes fueron extraídas de iCloud, automáticamente descartó la existencia de una vulnerabilidad en el servicio. La recomendación de Apple no fue otra más que usar contraseñas fuertes y activar la verificación en dos pasos. Ahora, un candado puede funcionar bien dentro de sus parámetros básicos, pero si lo abren más llaves además de las originales, es inseguro a pesar de su correcto funcionamiento. Y eso es lo que estaría pasando con iCloud en este momento. Christina Warren de Mashable decidió poner a prueba el estado de iCloud, y en su recorrida se encontró con el programa Elcomsoft Phone Breaker, o simplemente EPPB. El software está disponible en tres ediciones, pero las que nos llaman la atención son las dos superiores: Profesional y Forense.

¿Qué tan fácil es hackear iCloud?
EPPB

El build Profesional de EPPB permite a un descargar respaldos completos de iCloud, utilizando el nombre de y la contraseña. Determinar el nombre de es sencillo ya que Apple tiene la “gentileza” de confirmar si una dirección de correo está vinculada o no a un Apple ID. Una vez que se obtiene ese identificador, el proceso de “reset” para la contraseña solicita la fecha de nacimiento del , un dato más que conocido entre las celebridades (Wikipedia se convierte en una fuente fabulosa). La última barrera son las dos preguntas de seguridad, y ahí es cuando la ingeniería social hace su parte. Con presionar “Refresh”, Apple ofrecerá dos preguntas nuevas (se deben configurar tres), y no hay límite para esto. Apple ID y una contraseña reseteada/cambiada es todo lo que EPPB demanda para comenzar la descarga del contenido en iCloud, con un detalle muy especial: Ignora por completo la verificación de dos pasos.

Esto se debe a que la verificación sólo protege la información de pago, y no los datos. La verificación probablemente haga el proceso de reset sobre la contraseña más complejo, pero quien no desee tomar ese camino siempre puede recurrir al phishing u otras técnicas. A esto debemos sumar que los respaldos en iCloud no están cifrados, por lo tanto, las imágenes son apenas una de tantas cosas que se pueden obtener (Camera Roll, historial de llamadas, mensajes, etc.). Para rematar, la edición Forense de EPPB (400 dólares) no requiere ni Apple ID ni contraseña. En esa versión se incluye un pequeño programa que, ejecutado sobre un sistema Windows u OS X que tenga una Apple ID conectada (el proceso demora menos de 60 segundos), tiene la capacidad de extraer el “token” de autenticación… el cual Apple almacena en texto plano. Una vez que se ingresa ese token en EPPB, el a los respaldos de iCloud es completo.

Fuente:

Mashable

Etiquetas

#en la nube
avatar

Pues si la ponen asi de facil? quien no. Por ejemplo, usar la fecha de nacimiento real "Por favor en serio?", y tres preguntas de seguridad, con datos reales, realmente todo el problema esta en el , porque entonces cualquier persona es capaz de entrar a un unix/linux con el root, solo se necesita una sola frase, y si sn tan vivos de porner "123", porque es lo máximo que se les ocurre pues ahi estamos mal... En cuanto a la edicion forense que se ejecuta sobre una maquina que tenga el id guardado, pues la verdad no le veo la gracia, si ya estan en el equipo del , pidanle la contraseña y diganle que van a revisar el correo en el telefono y ya... para que gastar dinero en la aplicación... me imagino "Oye Britney, me prestas tu y telefono llena de fotos para revisar mi cuenta bancaria por fis"...

avatar

Debes iniciar sesión para publicar un comentario.