quinta-feira, 15 de janeiro de 2015

iCloud está vulnerável mesmo com a verificação em dois passos



icloud_1

A Apple, e os serviços associados ao iCloud, estiveram no final do ano passado expostos a vários problemas. Estes julgavam-se ultrapassados e controlados, mas a verdade é que os problemas ainda existem e mesmo os mecanismos aconselhados não são eficazes.
Como foi agora provado, os serviços do iCloud não estão a fazer uso de todas as novas medidas que a Apple criou e tornou padrão para acesso. Estas medidas de segurança que foram implementadas pura e simplesmente não existe dentro destes serviços.
Depois doserviço iCloud ser invadido e de lá terem sido retiradas centenas de fotografias de várias personalidades do mundo do cinema e da moda, a Apple resolveu aumentar a segurança e aconselhou os utilizadores a usarem alguns mecanismos simples, mas que garantiam que esta situação não voltaria a acontecer.
A forma mais aconselhada e que maiores garantias de segurança oferecia era a utilização da autenticação em dois passos, que para além do username e da password do utilizador, obriga a que seja usado um segundo código para dar acesso ao iCloud.
Para melhorar ainda mais a segurança a Apple resolveu também dotar o seu serviço iCloud de simples alertas de email sempre que um utilizador faça o acesso ao mesmo.
Este passou a ser uma definição que estava activa por omissão e que faria disparar um alerta aos utilizadores sempre que estes vissem um acesso que não fosse o seu.
Mas a verdade é que estes mecanismos não se estão a mostrar suficientes e existem provas de que mesmo com todas as opções activas é ainda possível fazer login nas contas de iCloud sem que os utilizadores tenham consciência disso.
A prova veio nu artigo publicado por Daniel Grant e que mostra que apenas um dos serviços do iCloud apresenta ao utilizador informação sobre acessos e que qualquer um deles ignora a necessidade de utilização do código de segurança que a autenticação de 2 factores devia obrigar a usar.
Dos vários serviços testados, iMessage, iTunes, FaceTime, App Store e site da Apple, apenas o serviço de chamadas de vídeo FaceTime alertou a utilizadora por email, indicando que tinha havido um acesso.
Os restantes foram simplesmente usados sem que qualquer notificação fosse apresentada ao utilizador, quer no próprio serviço ou por email.
Desta forma, basta a um atacante ter acesso às credenciais iCloud de um utilizador para que possa aceder à sua informação, desde mensagens privadas, chamadas, moradas e até dados do cartão de crédito ou número de telefone, sem que este tenha conhecimento disso.
A facilidade com que é possível aceder aos serviços iCloud de um utilizador, bastando ter acesso aos seus dados de autenticação e que até nem são difíceis de obter, mostra uma fragilidade grande nestes serviços.
A Apple tinha garantido que a implementação de novos mecanismos de segurança iriam tornar assunto do passado os problemas de segurança recentes, mas a verdade é que a prova mostra que eles ainda existem e que na verdade as medidas adicionais de segurança não existem em determinadas situações.