Nella giornata di ieri, Apple ha diramato un comunicato stampa affermando che “iCloud” e “Trova il mio iPhone” non sono responsabili per la perdita delle foto private di diverse celebrità pubblicate nel fine settimana. Apple imputa il tutto ad un attacco mirato verso i nomi utente, le password e le domande di sicurezza scovate dagli hacker e utilizzate per ottenere accesso ai vari account. Ma come stanno realmente le cose?
Andy Greenberg di Wired ha indagato sulla questione, scoprendo dei dettagli molto interessanti.
Gli hacker hanno usato un software progettato per i funzionari delle forze dell’ordine e del governo. Si tratta di ElcomSoft Phone Password Breaker (EPPB), programma in grado di fornire l’intero backup di un iPhone o di un iPad inserendo semplicemente nome utente password della vittima.
In pratica, gli hacker hanno usato uno script per scovare le password e, successivamente, EPPB per scaricare l’intero backup di iPhone e iPad.
Anche l’esperto in sicurezza Jonathan Zdziarski ha confermato che i metadati di alcune foto trapelate in rete sono in linea con l’utilizzo del software EPPB, ed eventualmente anche con il programma iBrute che in passato era in grado di sfruttare una vulnerabilità di Trova il mio iPhone. Questa falla permetteva ad iBrute di effettuare un numero illimitato di tentativi prima di indovinare la password del servizio. La falla è stata però corretta tempo fa da Apple, quindi è difficile che sia stata sfruttata dagli hacker in questa occasione.
In pratica, tutto ruota intorno ad EPPB, in quanto questo programma è in grado di scaricare il backup di un iPhone eludendo con successo la verifica a due fattori introdotta da Apple per migliorare la sicurezza degli utenti. Questo sistema di verifica a due fattori, infatti, non copre i backup di iCloud e delle foto. Tale tipo di verifica può rendere molto più difficile per gli hacker acquisire credenziali di accesso, ma non appunto i backup salvati su iCloud.
In ogni caso, le password scovate erano tutte molto semplici e di pochi caratteri, cosa che ha inciso nel successo dell’operazione. Il consiglio per evitare brutte sorprese è quello di cambiare le vostre password “semplici” e di inserirne di complesse, con numeri, lettere e caratteri speciali. Per evitare qualsiasi problema, in attesa che Apple inserisca la verifica a due fattori anche per i backup di iCloud, il consiglio è di disattivare il salvataggio dei backup sul servizio online di Apple e di limitarsi a salvarli in locale, tramite iTunes.
Il software ElcomSoft non è nemmeno difficile da trovare, visto che può essere acquistato liberamente al prezzo di 399$. La vulnerabilità dei backup di iCloud è nota da tempo, in quanto già nel 2013 in molti avevano parlato della mancanza dell’autenticazione a due fattori per la protezione di questi dati.
Apple sta lavorando per l’inserimento di questa verifica anche sui backup di iCloud, e siamo sicuri che ora i tempi saranno molto più brevi.