Tras el escándalo de la filtración de la fotos de las famosas, está claro que el o los atacantes - pues parece que ha sido un ataque dirigido a cada una de las famosas de coleccionistas de este tipo de fotos - han utilizado las debilidades de Apple iCloud en su cacería.
Entre ellas, las debilidades que se pueden haber estado utilizando se encuentra la siguiente lista:
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...
Entre ellas, las debilidades que se pueden haber estado utilizando se encuentra la siguiente lista:
- Ataques de fuerza bruta a Apple iCloud: Con el famoso script de iBrute y la debilidad de Find My iPhone se han podido sacar algunas contraseñas débiles. Apple ya ha corregido este fallo y hemos podido comprobar que al llegar a 30 intentos distintos de contraseñas se bloquea la cuenta.
- Ataques a recuperación de contraseñas con iForgot: En este caso la debilidad es el sistema de preguntas y respuestas. Ya nos quejamos en su momento que poner una lista limitada de preguntas es un fallo de seguridad y llevaría a que los usuarios pusieran respuestas que se podrían adivinar.
- No forzar el cambio de contraseñas: Algunas personas pueden llevar años con las contraseñas de sus víctimas sin que estas lo noten.
- No solicitar 2FA en accesos a backup: Incluso si un usuario ha configurado un 2FA no se solicita cuando se hace un acceso al backup. En el pasado hubo un fallo en Apple que permitió robar las contraseñas, y si esto pasa, ni con un 2FA de te salvarías.
- No hay buenas alertas de acceso a las cuentas: Apple no informa de manera activa cuando una conexión se produce a la cuenta. Se puede conseguir esa información, pero no está accesible a todo el mundo.
- Almacenamiento sin cifrado de datos por contraseña de usuario: Mientras que en el backup de Apple iTunes se puede poner una contraseña para cifrar el contenido de los ficheros, en Apple iCloud el backup se cifra, pero cualquiera con la password puede acceder a los datos descifrados.
Dicho esto, Tim Cook ha prometido mejoras en seguridad, mejoras en las alertas y una revisión completa de todos los procesos para hacer más robusto el almacenamiento de la información en Apple iCloud.- Ataques a recuperación de contraseñas con iForgot: En este caso la debilidad es el sistema de preguntas y respuestas. Ya nos quejamos en su momento que poner una lista limitada de preguntas es un fallo de seguridad y llevaría a que los usuarios pusieran respuestas que se podrían adivinar.
- No forzar el cambio de contraseñas: Algunas personas pueden llevar años con las contraseñas de sus víctimas sin que estas lo noten.
- No solicitar 2FA en accesos a backup: Incluso si un usuario ha configurado un 2FA no se solicita cuando se hace un acceso al backup. En el pasado hubo un fallo en Apple que permitió robar las contraseñas, y si esto pasa, ni con un 2FA de te salvarías.
- No hay buenas alertas de acceso a las cuentas: Apple no informa de manera activa cuando una conexión se produce a la cuenta. Se puede conseguir esa información, pero no está accesible a todo el mundo.
- Almacenamiento sin cifrado de datos por contraseña de usuario: Mientras que en el backup de Apple iTunes se puede poner una contraseña para cifrar el contenido de los ficheros, en Apple iCloud el backup se cifra, pero cualquiera con la password puede acceder a los datos descifrados.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...