Hackers

Hackers suben herramienta que permite ingresar contraseñas al azar en iCloud

Hasta ahora, la única medida de seguridad que Apple tomó fue limitar la cantidad de veces que se puede ingresar una contraseña. La herramienta es peligrosamente fácil de usar

domingo 4 de enero de 2015 - 8:19 pm

Apple lleva las de perder. Después del hack de fotos a los famosos, salió a la luz nuevo error de seguridad que deja desprotegidos a los usuarios de iCloud, y da para cuestionar los supuestos esfuerzos de Apple por asegurar el sistema de sincronización de sus iPhone y iPad: un programador bajo el pseudónimo Pr0x13 publicó en GitHub una herramienta que permitía probar contraseñas aleatoriamente para cuentas de iCloud.

La herramienta en cuestión se llama iDict, y permite elegir atacar una cuenta de iCloud basándose en una larga lista de un archivo de texto. Usuarios de Reddit confirmaron que con cuentas de prueba, lograron acceder, pero Apple ha reaccionado rápido y estableció un límite de intentos.

iDict funciona con un pequeño servidor web local y cURL, una herramienta para transferir archivos desde la consola de comandos. En la simple página que la herramienta proporciona, tan sólo debías escribir el correo de una cuenta iCloud y esperar a que la contraseña que esté en la lista fuese correcta.

La herramienta sigue disponible en GitHub disponible para el que quiera buscarla, y es tan simple como un generador de seriales para crackear un programa.

Apple bloqueó el número de peticiones como medida rápida para acabar con este fallo de seguridad, pero esta herramienta es demasiado similar a la que se podría usar para acceder a las cuentas de famosas en el llamado “Celebgate”. Se supone que Apple no permitía probar una y otra vez contraseñas de forma aleatoria para una cuenta, por eso es tan preocupante que esta herramienta funcionase, ya que el truco estaba en que simulaba ser un dispositivo con iOS.

Por supuesto, esto tan sólo permitiría conocer la contraseña que ya debería estar definida en una larga lista, por lo que los atacantes son, en este caso,  personas con pocos conocimientos de seguridad en Internet. Tampoco sirve para las cuentas con verificación en dos pasos activada.

COMENTARIOS