Después del escándalo que ha generado la masiva filtración de fotos con famosas desnudas a comienzos de esta semana, y de las llamativas declaraciones de Apple sobre la seguridad en las cuentas afectadas, no son pocos los que han comenzado a preguntarse qué tan fácil es hackear y descargar respaldos completos de iCloud. De acuerdo a una reciente publicación que pertenece a Mashable, sólo se necesita una pizca de ingeniería social, y 200 dólares en software.
La recientes declaraciones de Cupertino en relación a la fuga de fotografías con famosas en paños menores causaron un poco de escozor. Si bien reconoció que varias imágenes fueron extraídas de iCloud, automáticamente descartó la existencia de una vulnerabilidad en el servicio. La recomendación de Apple no fue otra más que usar contraseñas fuertes y activar la verificación en dos pasos. Ahora, un candado puede funcionar bien dentro de sus parámetros básicos, pero si lo abren más llaves además de las originales, es inseguro a pesar de su correcto funcionamiento. Y eso es lo que estaría pasando con iCloud en este momento. Christina Warren de Mashable decidió poner a prueba el estado de iCloud, y en su recorrida se encontró con el programa Elcomsoft Phone Password Breaker, o simplemente EPPB. El software está disponible en tres ediciones, pero las que nos llaman la atención son las dos superiores: Profesional y Forense.
El build Profesional de EPPB permite a un usuario descargar respaldos completos de iCloud, utilizando el nombre de usuario y la contraseña. Determinar el nombre de usuario es sencillo ya que Apple tiene la “gentileza” de confirmar si una dirección de correo está vinculada o no a un Apple ID. Una vez que se obtiene ese identificador, el proceso de “reset” para la contraseña solicita la fecha de nacimiento del usuario, un dato más que conocido entre las celebridades (Wikipedia se convierte en una fuente fabulosa). La última barrera son las dos preguntas de seguridad, y ahí es cuando la ingeniería social hace su parte. Con presionar “Refresh”, Apple ofrecerá dos preguntas nuevas (se deben configurar tres), y no hay límite para esto. Apple ID y una contraseña reseteada/cambiada es todo lo que EPPB demanda para comenzar la descarga del contenido en iCloud, con un detalle muy especial: Ignora por completo la verificación de dos pasos.
Esto se debe a que la verificación sólo protege la información de pago, y no los datos. La verificación probablemente haga el proceso de reset sobre la contraseña más complejo, pero quien no desee tomar ese camino siempre puede recurrir al phishing u otras técnicas. A esto debemos sumar que los respaldos en iCloud no están cifrados, por lo tanto, las imágenes son apenas una de tantas cosas que se pueden obtener (Camera Roll, historial de llamadas, mensajes, etc.). Para rematar, la edición Forense de EPPB (400 dólares) no requiere ni Apple ID ni contraseña. En esa versión se incluye un pequeño programa que, ejecutado sobre un sistema Windows u OS X que tenga una Apple ID conectada (el proceso demora menos de 60 segundos), tiene la capacidad de extraer el “token” de autenticación… el cual Apple almacena en texto plano. Una vez que se ingresa ese token en EPPB, el acceso a los respaldos de iCloud es completo.