El año comienza bastante movido en lo referido a temas de seguridad. Ahora es el turno para los usuarios del servicio iCloud de Apple. El pasado año sufrieron las consecuencias de accesos no autorizados a sus cuentas y ahora un grupo de hackers bajo el nombre Pr0x13 ha publicado una herramienta llamada iDict, que sirve para robar cuentas del servicio de almacenamiento de los de Cupertino.
La herramienta publicada permite aprovechar una vulnerabilidad en el sistema de autenticación en dos pasos que posee el servicio, permitiendo la realización de ataques de fuerza bruta y lo que hace satisfactorio este ataque: un número ilimitado de intentos sin que el inicio de sesión se bloquee. Este fallo de seguridad es el mismo que permitió que miles de fotos de famosas saliesen a la luz el pasado año, lo que significa que aún Apple no ha buscado poner solución al problema, y de ser lo contrario la solución que han adoptado no ha sido la más adecuada.
Desde el grupo de hackers han hablado con respecto a iDict y confirman que es 100% eficaz si la contraseña que se ha utilizado para proteger la cuenta se encuentra entre las añadidas al diccionario. A pesar de lo sucedido en numerosas ocasiones, los usuarios continúan utilizando contraseñas muy débiles y con una seguridad bastante dudosa. Por este motivo ocurren los hackeos de las cuentas de Facebook, Twitter, Gmail o en esta ocasión de iCloud.
iDict posee unas probabilidades de éxito bastante limitadas
Para que el hackeo tenga éxito hay que tener en cuenta que la contraseña de la cuenta que se quiere hackear debe estar en el diccionario formado por poco más de 500 palabras, por lo tanto conviene ser realistas y advertir que a pesar de permitir eludir la seguridad que existe para garantizar el inicie de sesión en dos factores las posibilidades de éxito del ataque son bastante bajas. Sin embargo, fijándose en la gran cantidad de usuario que poseen contraseñas inseguras es más que probable que en algún caso la herramienta funcione.
Apple no ha actuado contra este problema de seguridad
Hemos culpado a los usuarios por la utilización de contraseñas con una seguridad débil pero no podemos olvidarnos de que los de Cupertino tendrían que haber tomado medidas en el asunto. Evidentemente en sus manos no esta el que la seguridad de las contraseñas mejore pero sí que depende de ellos que el sistema que evita ataques de fuerza bruta contra las cuentas de sus servicios funcione de forma correcta, y esto no es así.
Fuente | The Hacker News