CELEBGATE. ¿Fue un hackeo de iCloud?

 Si y no. A pesar de lo que muchos medios generalistas anunciaron, nadie penetró en los sistemas de la nube de Apple. No se explotó ninguna vulnerabilidad directa. El problema se encontraba en la API de "FindMyPhone" de Apple. 

Concretamente esta llamada REST (hay un supuesto script que parece haber sido usado para el ataque - https://github.com/hackappcom/ibrute):"https://fmipmobile.icloud.com/fmipservice/device/'+apple_id+'/initClient"

 Donde el 'apple_id' se debe introducir el correo de la víctima. Exacto, el atacante debe saber de antemano el correo de la cuenta asociada a iCloud a la que quiere acceder. ¿Cómo era posible saber el correo de una famosa? Existen muchas teorías, alguno sería sencillo de averiguar o quizás pululaba por ahí, el caso es que obteniendo la agenda de contactos de una famosa el resto era ir tirando de la caña.

 El ataque se hacía de manera combinada, con listas de correos y listas de contraseñas por lo que se trataba de un ataque de longitud cuadrática. "Por cada correo prueba estas 500 contraseñas…". Esto genera un ruido impresionante en los registros de eventos que ni a un IPS de segunda división se le pasa por alto, en el supuesto claro de que hubiera alguno… ¿Lo habría?

La política de contraseñas de Apple

 Apple mantiene una política de contraseñas estándar, con posibilidad de activar doble factor de autenticación y la extremadamente desaconsejable y completamente insegura segunda vía a través de preguntas personales.

 Las reglas son declarativas y siguen una lógica AND:

1. Al menos tienen que tener una letra.
2. Al menos una letra capital.
3. Al menos un número.
4. No deben contener caracteres secuencialmente idénticos.
5. No debe ser la misma cadena que el nombre de usuario.
6. Al menos debe contener 8 caracteres.
7. No debe ser una contraseña común (conocida)
8. No ha de haberse usado durante el año anterior.

 Con todas estas reglas y una lista de gritones de contraseñas tenemos, no como construir una contraseña, sino como filtrar esa lista de contraseñas a través de expresiones regulares y quedarnos con una lista más ligerita y certera.

Más información:

• El culo de Scarlett y el eslabón más débil (I y II) http://unaaldia.hispasec.com/2011/10/el-culo-de-scarlett-y-el-eslabon-mas_14.html
• La pregunta secreta del caso "Paris Hilton" http://unaaldia.hispasec.com/2005/02/la-pregunta-secreta-del-caso-hilton.html

Fuente: Hispasec