1 de octubre de 2014

APPLE. Fue consciente de la vulnerabilidad antes del Celebgate

El almacenamiento en la nube es muy útil, pero igualmente es muy peligroso si no se sabe utilizar correctamente. Debemos mantener siempre ciertas normas de seguridad y cuidar el contenido que subimos a la nube con el fin de evitar males mayores como el que ocurrió a principios de septiembre.
Celebgate es uno de los mayores escándalos y una de las brechas de seguridad en la nube más grande de los últimos meses. Cientos de fotografías íntimas de famosas se han filtrado directamente desde los servidores de Apple debido a un fallo de seguridad en iCloud y al hecho de que todas las fotos y vídeos tomadas con los smartphones se sincronizaban automáticamente con la nube. Aunque ya la compañía ha aplicado nuevas medidas de seguridad para evitar que esto vuelva a ocurrir, es posible que ya conociera la existencia de la vulnerabilidad desde hacía meses.
En marzo de este mismo año un investigador de seguridad de Londres reportó a Apple que su sistema era vulnerable ante ataques de fuerza bruta pudiendo llegar a adivinar una contraseña en un período más o menos largo en función de la complejidad de la misma. Este investigador de seguridad rellenó y envió el formulario que la compañía facilita para reportar posibles vulnerabilidades y explicó a los responsables de seguridad que se podían comprobar más de 20.000 contraseñas diferentes para un mismo usuario sin que el sistema impusiera ninguna restricción.
El mismo día también envió a la compañía la misma vulnerabilidad en el sistema de autenticación de iCloud mediante un ID falso y utilizando este token de inicio afirmando a la compañía que Google también contaba con el mismo fallo y que ya lo había reportado a los responsables de seguridad.
Los responsables de seguridad de Apple afirmaron que la vulnerabilidad no era para preocuparse ya que es un proceso muy lento y preguntaron al investigador si era capaz de conseguir explotar la contraseña en menos tiempo. Ante la negativa del investigador la vulnerabilidad ha quedado zanjada y tanto las cuentas de Apple como iCloud han seguido estando vulnerables hasta este momento.
Fuente: Ars Technica