bug no iCloud que causou vazamento de fotos: simples HTTP auth brute force?

Na noite de ontem a internet inteira acompanhou boquiaberta o vazamento de fotos íntimas afetando uma dúzia de celebridades – apesar de eu só ter visto umas 4.

Como os detalhes de hackeamentos estupidamente simples não costumam demorar a aparecer, os caras da hackapp.com postaram no GitHub um código explorando supostamente o mesmo bug usado no hack, que eu imediatamente testei e confirmei que funciona como esperado:

A exploit nada mais é do que um simples brute force via HTTP basic auth numa API provavelmente obscura usada pelo iCloud, que pelo user-agent usado no código, parece fazer parte de alguma funcionalidade do recurso FindMyiPhone do iOS.

O erro da Apple foi não banir o IP do atacante ou bloquear a conta da vítima após X tentativas de login, vacilo clássico que sempre permite ataques de força bruta.

Ainda não há confirmação de que essa tenha sido de fato a brecha que causou o vazamento das fotos, mas esse bug em particular é real e não há desculpa para uma empresa com o tamanho da Apple deixar passar uma vulnerabilidade que, de acordo com a OWASP, está entre as 3 mais frequentes em aplicações web.

Como se proteger

Após a Apple corrigir esse bug em particular, outros poderão surgir a qualquer momento, então simplesmente considere não usar o iCloud pra sincronizar/backupear as fotos tiradas no iDevice. Mas se você quiser correr o risco mesmo assim, tenha certeza de usar uma senha forte e que não se repita em nenhum outro site ou serviço.-

Se estiver procurando uma consultoria de Segurança da Informação capaz de validar seus códigos, sistemas e aplicações, contate a Midri.

Leave a Comment.