Avançar para o conteúdo principal

iCloud está vulnerável mesmo com a verificação em dois passos



icloud_1

A Apple, e os serviços associados ao iCloud, estiveram no final do ano passado expostos a vários problemas. Estes julgavam-se ultrapassados e controlados, mas a verdade é que os problemas ainda existem e mesmo os mecanismos aconselhados não são eficazes.
Como foi agora provado, os serviços do iCloud não estão a fazer uso de todas as novas medidas que a Apple criou e tornou padrão para acesso. Estas medidas de segurança que foram implementadas pura e simplesmente não existe dentro destes serviços.
Depois doserviço iCloud ser invadido e de lá terem sido retiradas centenas de fotografias de várias personalidades do mundo do cinema e da moda, a Apple resolveu aumentar a segurança e aconselhou os utilizadores a usarem alguns mecanismos simples, mas que garantiam que esta situação não voltaria a acontecer.
A forma mais aconselhada e que maiores garantias de segurança oferecia era a utilização da autenticação em dois passos, que para além do username e da password do utilizador, obriga a que seja usado um segundo código para dar acesso ao iCloud.
Para melhorar ainda mais a segurança a Apple resolveu também dotar o seu serviço iCloud de simples alertas de email sempre que um utilizador faça o acesso ao mesmo.
Este passou a ser uma definição que estava activa por omissão e que faria disparar um alerta aos utilizadores sempre que estes vissem um acesso que não fosse o seu.
Mas a verdade é que estes mecanismos não se estão a mostrar suficientes e existem provas de que mesmo com todas as opções activas é ainda possível fazer login nas contas de iCloud sem que os utilizadores tenham consciência disso.
A prova veio nu artigo publicado por Daniel Grant e que mostra que apenas um dos serviços do iCloud apresenta ao utilizador informação sobre acessos e que qualquer um deles ignora a necessidade de utilização do código de segurança que a autenticação de 2 factores devia obrigar a usar.
Dos vários serviços testados, iMessage, iTunes, FaceTime, App Store e site da Apple, apenas o serviço de chamadas de vídeo FaceTime alertou a utilizadora por email, indicando que tinha havido um acesso.
Os restantes foram simplesmente usados sem que qualquer notificação fosse apresentada ao utilizador, quer no próprio serviço ou por email.
Desta forma, basta a um atacante ter acesso às credenciais iCloud de um utilizador para que possa aceder à sua informação, desde mensagens privadas, chamadas, moradas e até dados do cartão de crédito ou número de telefone, sem que este tenha conhecimento disso.
A facilidade com que é possível aceder aos serviços iCloud de um utilizador, bastando ter acesso aos seus dados de autenticação e que até nem são difíceis de obter, mostra uma fragilidade grande nestes serviços.
A Apple tinha garantido que a implementação de novos mecanismos de segurança iriam tornar assunto do passado os problemas de segurança recentes, mas a verdade é que a prova mostra que eles ainda existem e que na verdade as medidas adicionais de segurança não existem em determinadas situações.

Comentários

Enviar um comentário

Mensagens populares deste blogue

Llama Mountain: A board mais pequena do mundo é da Intel

A miniaturização dos componentes que constituem os nossos computadores tem estado a atingir níveis microscópicos. Ao criarem estes componentes passa a ser possível incluí-los em chassis ainda mais pequenos ou permite ganhar espaço para a colocação de outros elementos de maiores dimensões. A Intel apresentou hoje um protótipo, de nome Llama Mountain, que revela uma motherboard completa, mas de dimensões extremamente pequenas. Esta tecnologia vai estar disponível para qualquer OEM criar dispositivos, completos, ainda mais pequenos ou com outras características únicas. O Llama Mountain foi apresentado pela Intel na Computex um tablet único, a correr Windows 8.1 Pro, que é suportado por uma motherboard de dimensões reduzidas e que permite que exista espaço para a colocação de duas baterias. Estas duas baterias, de dimensões generosas, garantem a este tablet de 12.5 polegadas uma autonomia de 32 horas. Também como resultado da utilização desta motherboard, o tablet que fo...
Enviar um comentário
Ler mais

Ubuntu 13.10 Saucy Salamander virá com o MIR

Durante o dia de hoje, o mundo Linux assistiu ao anuncio de duas informações antagónicas: Por um lado Jonathan Riddell,  do projecto  Kubuntu,   referiu que o Mir/XMir não será (ainda) integrado na sua distribuição  ;  Relativamente ao projecto Ubuntu, a informação é que o Ubuntu 13.10 Saucy Salamander virá com o MIR. Tal como anunciado  o Ubuntu 13.10 Saucy Salamander virá com o MIR, um novo servidor gráfico, desenvolvido pela Canonical, desenhado para ser rápido, eficiente e transversal a várias versões do Ubuntu (ex. Ubuntu para smartphones/ tablets, desktops, TV, etc). O Mir será o  substituto do X-Window e X.org  e oferecerá uma nova experiência aos utilizadores (de referir que a não adopção do  Wayland   – projecto idêntico desenvolvido por um grupo de programadores da Redhat, se deveu a incompatibilidades com os objectivos traçados pela Canonical). Como objectivo traçado, a equipa de desenvolvimento pretende...
Enviar um comentário
Ler mais

Avira PC Cleaner, do alerta para a segurança

As ferramentas que nos podem ajudar a detectar uma eventual infecção no nosso sistema são sempre uma mais-valia. Mas tornam-se ainda mais úteis quando chegam pela mão das grandes marcas de software com tradição em soluções de segurança, como é o caso da  Avira . Assim, a marca alemã disponibilizou o seu Avira PC Cleaner que pode ser descrito como uma ferramenta individual de pesquisa para vírus que funcional de forma independente, em espécie de «auditor» quer tenhamos ou não outras ferramentas de segurança instaladas. Vamos conhecer? O primeiro programa é bastante leve, rondando pouco mais de 2 MB de download sem necessidade de instalação. Uma vez descarregado basta correr o programa para que, de forma automática ele descarregue via INternet a «segunda parte» dele mesmo. Penso que começamos bem por aqui, pois este procedimento reduz, em certa forma, a possibilidade de eventuais conflitos com outras ferramentas de segurança que possamos ter instaladas. Uma vez d...
Enviar um comentário
Ler mais