Ir para conteúdo

Entenda a falha no iCloud por completo. Ele foi hackeado?


Posts Recomendados

Entenda a falha no iCloud por completo. Ele foi hackeado?
 
Programadores mal intencionados (lê-se hackers) se aproveitaram de uma falha em uma API interna do Find My iPhone para invadirem contas no iCloud. Não é certo, ainda, se as fotos vazadas das celebridades norte-americanas nuas de fato têm alguma relação com a brecha do iCloud, mas a falha de segurança no serviço da Apple é incontestável. O método que tornou-se público é bastante básico até para iniciantes em programação, e consiste no acerto com base nas tentativas. Funciona assim: o programa identifica-se, nos cabeçalhos HTTP, como um iPhone e envia pedidos para um endereço interno no site da Apple, relacionado ao Find My iPhone. O servidor aceita os pedidos, que têm, entre os parâmetros, o e-mail e a senha do usuário. Os parâmetros (e-mail e senhas) podem ser gerados dinamicamente pelo programa em sua fase de execução. A Apple deveria bloquear o usuário responsável pelo ataque após um número de tentativas falhadas. Não é o que acontece. As tentativas continuavam sempre rodando, de maneira que, usando algoritmos que geram senhas com base naquilo que é mais comum, há a chance, após várias tentativas, do programa acertar. Se o usuário tem uma senha bastante incomum, longa e segura, suas chances de não ser atingido pela falha são maiores. Muito maiores.
 
O que a Apple fez para contornar o problema?
 
Publicamente, nada sobre o assunto foi divulgado pela Apple. Pelo menos não até a elaboração desta matéria. Por trás do que nossos olhos veem, testamos um script em Python disponibilizado no Github há alguns dias. Ao acessarmos uma conta do iCloud veiculada ao blog, tivemos sucesso. O que o código faz é relacionar uma lista de e-mails em um arquivo com uma lista de senhas em outro arquivo. Os dois campos devem ser inseridos pelo usuário, mas a ideia é totalmente manipulável de forma que torna-se fácil a geração de senhas. O resultado após um ataque bem-sucedido foi o que é exposto na imagem: a conta foi desativada pela Apple. E a re-ativação dela teve que ser feita por e-mail
 
kZdJ.jpg
 
Como posso ficar mais seguro?
 
A autenticação em duas etapas é indispensável para qualquer um que deseja obter a máxima segurança possível. Vivemos, afinal, dentro de um mundo de programas escritos por seres humanos, que são completamente sujeitos a falhas. Nas configurações do iCloud, habilite a autenticação por duas etapas.
 
UPhu.png
Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
×
  • Criar Novo...