iPod School

Entenda a falha no iCloud por completo. Ele foi hackeado?

André BazagliaAndré Bazaglia

Programadores mal intencionados (lê-se hackers) se aproveitaram de uma falha em uma API interna do Find My iPhone para invadirem contas no iCloud. Não é certo, ainda, se as fotos vazadas das celebridades norte-americanas nuas de fato têm alguma relação com a brecha do iCloud, mas a falha de segurança no serviço da Apple é incontestável. Nós testamos.

O método que tornou-se público é bastante básico até para iniciantes em programação, e consiste no acerto com base nas tentativas. Funciona assim: o programa identifica-se, nos cabeçalhos HTTP, como um iPhone e envia pedidos para um endereço interno no site da Apple, relacionado ao Find My iPhone. O servidor aceita os pedidos, que têm, entre os parâmetros, o e-mail e a senha do usuário. Os parâmetros (e-mail e senhas) podem ser gerados dinamicamente pelo programa em sua fase de execução. A Apple deveria bloquear o usuário responsável pelo ataque após um número de tentativas falhadas. Não é o que acontece. As tentativas continuavam sempre rodando, de maneira que, usando algoritmos que geram senhas com base naquilo que é mais comum, há a chance, após várias tentativas, do programa acertar. Se o usuário tem uma senha bastante incomum, longa e segura, suas chances de não ser atingido pela falha são maiores. Muito maiores.

O que a Apple fez para contornar o problema?

Publicamente, nada sobre o assunto foi divulgado pela Apple. Pelo menos não até a elaboração desta matéria. Por trás do que nossos olhos veem, testamos um script em Python disponibilizado no Github há alguns dias. Ao acessarmos uma conta do iCloud veiculada ao blog, tivemos sucesso. O que o código faz é relacionar uma lista de e-mails em um arquivo com uma lista de senhas em outro arquivo. Os dois campos devem ser inseridos pelo usuário, mas a ideia é totalmente manipulável de forma que torna-se fácil a geração de senhas.

O resultado após um ataque bem-sucedido foi o que é exposto na imagem: a conta foi desativada pela Apple. E a re-ativação dela teve que ser feita por e-mail.

IMG-20140901-WA0010

Como posso ficar mais seguro?

A autenticação em duas etapas é indispensável para qualquer um que deseja obter a máxima segurança possível. Vivemos, afinal, dentro de um mundo de programas escritos por seres humanos, que são completamente sujeitos a falhas. Nas configurações do iCloud, habilite a autenticação por duas etapas.

verificacao-duas-etapas

Programador, blogueiro, estudante de Engenharia de Computação. Em busca de deixar sua marquinha no universo.