Esto es fácil, cuando iniciamos sesión en iCloud y navegamos a settings nos encontramos con un enlace que muestra el mensaje "Datos y Seguridad". Pulsando sobre dicho enlace accedemos a una ventana similar a la de la imagen, dónde se puede realizar la acción de cierre de todas las sesiones abiertas en todos los navegadores.
Figura 1: Cerrar todas las sesiones en iCloud
Una vez tenemos la idea de dónde se cierran las sesiones, vamos a proceder a pensar en la idea para protegerlas. Realmente es sencillo, cuando cerremos el cerrojo tendremos una aplicación que esté consultando el estado para, una vez que se comprueba que el cerrojo esté activo, lanzar nuestro script el cual entrará en iCloud y realizará las distintas acciones necesarias para cerrar todas las sesiones abiertas en los navegadores. La idea es clara y sencilla, implementable por cualquier usuario.
Figura 2: Generación de aplicación en el área de developers de Latch
Para comenzar hay que crear una aplicación en el área de developers de Latch. Necesitamos el Secret y el AppID para poder utlizarlos en la aplicación que generaremos para controlar el cambio del cerrojo de Latch.
Figura 3: Ejemplo de código Selenium
Con la aplicación ya creada, o bien utilizando llamadas cURL o con los SDK de Latch, podemos ejecutar nuestro script de pareado donde se emparejará nuestra cuenta de Latch con la nueva aplicación. Con Selenium podemos automatizar las acciones que se realizarían por parte de un usuario para cerrar sesiones en todos los navegadores. A continuación, se puede visualizar un ejemplo de código para llevar a cabo la operativa.
Figura 4: Vídeo demostrativo del hack de Apple iCloud para Latch
Finalmente, y para ejemplificar todo el trabajo realizado, Javier Espinosa ha preparado el siguiente video dónde podemos ver toda la operativo y el cierre de sesiones de iCloud, una vez que el usuario activa Latch.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...