Foto dei VIP: sottratti da iCloud i backup degli iPhone

Nelle scorse ore, dopo l’incidente che ha visto coinvolte decine di “celebrità” statunitensi, le cui foto (spesso di nudo) sono apparse online, Apple ha voluto dire la sua cercando di gettare acqua sul fuoco. I tecnici del colosso di Cupertino assicurano che non esistevano e non esistono vulnerabilità note nei servizi “Trova il mio telefono” ed iCloud.
La Mela lo spiega in un conciso comunicato, pubblicato a questo indirizzo: “dopo 40 ore di investigazione, abbiamo rilevato che gli account di alcuni personaggi famosi sono stati violati sferrando attacchi mirati su nomi utente, password e domande segrete. Una pratica comune alla maggioranza dei servizi Internet“.

Apple, insomma, sposta la responsabilità, in primis, sugli utenti. E ciò corrisponde anche al vero perché quando un utente si astiene dall’impostare una password complessa, a tutela del suo account, contenente caratteri alfanumerici e simboli (L’importanza di scegliere password lunghe e complesse) la frittata è già fatta.
Piuttosto, le applicazioni web – soprattutto quelle che autenticano l’utente e fungono da lasciapassare verso una sconfinata quantità di dati personali – dovrebbero non consentire l’utilizzo di password troppo semplici o comnque l’impiego di parole chiave che non rispettino standard minimi di sicurezza (presenza di lettere, numeri e simboli).
Inoltre, sebbene il servizio di Apple “Trova il mio telefono” non contenesse una vera e propria falla, è ormai pacifico che – nelle ore successive all’attacco – sia stato aggiornato non permettendo più, ad utenti remoti, di porre in essere attacchi brute force ossia di provare sequenzialmente, e senza limitazioni, migliaia di password una dopo l’altra.

Utilizzare password facili da indovinare per proteggere i propri account online, quindi, è una pratica sconsiderata: ed è tutta qui la radice del problema. “Se non potete usare password lunghe (almeno 15 caratteri) e complesse o non potete sfruttare l’autenticazione a due fattori (vedere questi articoli), semplicemente, non utilizzate il servizio“, è la chiosa di un post pubblicato sul sito di ISC (SANS) ^{(nel caso di Apple iCloud, fare comunque riferimento a quanto riportato più avanti)}.

In queste ore sono emersi ulteriori interessanti particolari. Per fare razzìa delle “foto imbarazzanti” delle personalità di spicco USA, gli aggressori si sarebbero serviti anche del software Phone Password Breaker, sviluppato dalla nota società russa ElcomSoft. I suoi prodotti sono piuttosto popolari tra chi ha esigenza di “recuperare password dimenticate“, in molteplici ambiti (vedere questi articoli).
Nel catalogo prodotti di ElcomSoft figura anche Phone Password Breaker, un’applicazione che – conoscendo le credenziali d’accesso ad un account iCloud o Windows Live – permette di recuperare le copie di backup dell’intero contenuto di smartphone e tablet (qui tutti i dettagli).

Combinando l’utilizzo di ElcomSoft Phone Password Breaker (EPPB) con l’impiego dello script Python che ha consentito di mettere in atto l’attacco brute force (Attacco ad Apple iCloud, foto personali sul web), gli aggressori sarebbero riusciti ad “impersonare” gli iPhone delle vittime e scaricare backup completi piuttosto che il singolo materiale conservato sul servizio iCloud.
Grazie a EPPB, gli aggressori avrebbero avuto accesso non solo alle “foto compromettenti” ma anche ad una vasta mole di dati personali: video, dati delle applicazioni installate sui dispositivi mobili, liste di contatti, messaggi di testo e così via.
Esaminando le foto apparse in queste ore, sembra che alcune di esse non fossero conservate affatto su iCloud ma, in quanto precedentemente cancellate, provenissero da backup completi dello smartphone.

Ad ogni modo, l’attivazione dell’autenticazione a due fattori – nel caso di Apple iCloud – non avrebbe “salvato” le celebrità che in questi giorni sono state vittime dell’aggressione. I backup iCloud, infatti, non sono protetti con l’autenticazione a due fattori e possono essere copiati ed installati su altri device fornendo semplicemente l’Apple ID e la corrispondente password. L’implementazione dell’autenticazione a due fattori in iCloud appare quindi, almeno allo stato attuale, decisamente incompleta.