Si y no. A pesar
de lo que muchos medios generalistas anunciaron, nadie penetró en los sistemas
de la nube de Apple. No se explotó ninguna vulnerabilidad directa. El problema
se encontraba en la API de "FindMyPhone" de Apple.
Concretamente esta
llamada REST (hay un supuesto script que parece haber sido usado para el ataque
- https://github.com/hackappcom/ibrute):"https://fmipmobile.icloud.com/fmipservice/device/'+apple_id+'/initClient"
Donde el
'apple_id' se debe introducir el correo de la víctima. Exacto, el atacante debe
saber de antemano el correo de la cuenta asociada a iCloud a la que quiere
acceder. ¿Cómo era posible saber el correo de una famosa? Existen muchas
teorías, alguno sería sencillo de averiguar o quizás pululaba por ahí, el caso
es que obteniendo la agenda de contactos de una famosa el resto era ir tirando
de la caña.
El ataque se
hacía de manera combinada, con listas de correos y listas de contraseñas por lo
que se trataba de un ataque de longitud cuadrática. "Por cada correo
prueba estas 500 contraseñas…". Esto genera un ruido impresionante en los
registros de eventos que ni a un IPS de segunda división se le pasa por alto,
en el supuesto claro de que hubiera alguno… ¿Lo habría?
La política de contraseñas de Apple
Apple mantiene
una política de contraseñas estándar, con posibilidad de activar doble factor
de autenticación y la extremadamente desaconsejable y completamente insegura
segunda vía a través de preguntas personales.
Las reglas son
declarativas y siguen una lógica AND:
- Al menos tienen que tener una letra.
- Al menos una letra capital.
- Al menos un número.
- No deben contener caracteres secuencialmente idénticos.
- No debe ser la misma cadena que el nombre de usuario.
- Al menos debe contener 8 caracteres.
- No debe ser una contraseña común (conocida)
- No ha de haberse usado durante el año anterior.
Más información:
- El culo de Scarlett y el eslabón más débil (I y II) http://unaaldia.hispasec.com/2011/10/el-culo-de-scarlett-y-el-eslabon-mas_14.html
- La pregunta secreta del caso "Paris Hilton" http://unaaldia.hispasec.com/2005/02/la-pregunta-secreta-del-caso-hilton.html