Un hacker, conosciuto come “Pr0x13”, ha sfruttato una falla del sistema Cloud di casa Apple per violare le password degli utenti.
Il 2015 è cominciato da poco, ma la comunità degli hacker ha già di che festeggiare. Il nuovo anno, infatti, non promette bene per gli utenti iCloud.
Purtroppo le brutte notizie non finiscono qui, l’hacker in questione ha rilasciato pubblicamente anche un hacktool: iDict.
iDict permette all’attaccante di prendere possesso dell’account iCloud altrui, potenzialmente dandogli accesso a tutti i dispositivi iOS connessi all’account.
Il tool sfrutta l’exploit nell’infrastruttura di sicurezza di iCloud per bypassare le restrizioni e la doppia autenticazione, sistemi studiati appositamente per prevenire gli attacchi “a forza bruta”, tenendo così lontani la maggior parte dei malintenzionati.
Per chi non lo sapesse, un attacco a forza bruta non è nulla più se non provare ad effettuare il login all’account, tramite programmi automatici, con tutte le password più comuni, portando un attacco al server da milioni di tentativi al minuto.
Per evitare gli attacchi a forza bruta (o brute force attack) solitamente è sufficiente impedire più connessioni da uno stesso ip ed abilitare il login a doppia autenticazione, impedendo di fatto i tentativi di accesso simultanei.
Venendo a mancare questi protocolli di sicurezza, per una inefficienza Apple, si è aperta la strada a questo metodo molto rozzo ma sempre efficace.
Efficace perché sono ancora milioni gli utenti che proteggono i propri account con password molto elementari. Ricordiamo che “12345678 “, “qwerty” o “abc1234” sono ancora tra le password più utilizzate al mondo.
Ed è esattamente a causa della combinazione “bug di sicurezza + password elementare” che sono stati hackerati gli account di tante star di Hollywood.
Pr0x13 afferma di aver rilasciato il tool esclusivamente per obbligare Apple al fix del bug di sicurezza, ma al momento ciò non è ancora avvenuto.
La miglior difesa?
Non basta attendere che Apple risolva il bug, è necessario proteggere il proprio account con una password efficace.