Apple risolve una falla di sicurezza di iCloud dopo che foto di celebrità sono state hackerate e diffuse

Il giorno dopo che foto private e nude dell’attrice Jennifer Lawrence e di altre celebrità di Hollywood sono state diffuse online, Apple ha riportato di aver risolto una falla di sicurezza che avrebbe potuto consentire agli hacker di accedere agli account iCloud.

È stato riportato che la vulnerabilità è stata esposta sul sito di hosting di codice Github. Si dice che gli sviluppatori abbiano scoperto che la funzione “ Trova il mio iPhone ” di Apple potrebbe essere compromessa da attacchi di forza bruta che provano password dopo password fino a trovare quella giusta per sbloccare un account. Da lì, gli hacker potrebbero essere stati in grado di scoprire l’ID Apple di un utente e accedere al loro spazio di archiviazione iCloud. Github afferma che Apple ha risolto il problema.

Tuttavia, non è chiaro se questa sia la stessa, o l’unica falla di sicurezza che ha permesso agli hacker di raccogliere le foto di Lawrence e di altre 20 celebrità di Hollywood.

Come dichiarato nel nostro post precedente, alcune delle foto sembrano provenire da diversi dispositivi e potrebbero essere state accumulate nel corso di un lungo periodo di tempo.

Il redattore senior di CNET Dan Ackerman ha detto “ Potrebbe non essere una sola persona, potrebbe essere un gruppo di persone, e queste potrebbero essere foto che sono state messe insieme nel corso di mesi o anni, “

Post online sui siti web 4chan e Reddit hanno detto che foto di più di 100 celebrità sono state esposte quando un hacker è entrato nel loro spazio di archiviazione basato su cloud, sebbene agenzie di stampa indipendenti abbiano indicato che solo immagini di 20 celebrità in posizioni intime e personali potrebbero essere state diffuse.

Foto della star di “ Hunger Games ” Jennifer Lawrence in vari stadi di spogliarello sono apparse online, insieme a foto private dell’attrice Mary Elizabeth Winstead, della modella Kate Upton e di altre. Un portavoce di Lawrence ha dichiarato che i post sono “una flagrante violazione della privacy” e ha detto “ le autorità sono state contattate e perseguiranno chiunque pubblichi le foto rubate di Jennifer Lawrence. “

Winstead e Upton hanno riconosciuto che le foto rubate di loro erano reali, mentre altre due vittime, la cantante Ariana Grande e la star di Nickelodeon Victoria Justice, hanno detto che le foto pubblicate di loro erano false.

Dall’altra parte, Apple ha dichiarato lunedì di essere “attivamente impegnata a indagare” se una violazione della sicurezza del suo servizio iCloud fosse responsabile della fuga.

“ Prendiamo molto sul serio la privacy degli utenti e stiamo attivamente indagando su questo rapporto, ” ha dichiarato la portavoce di Apple Natalie Kerris a Recode.

L’attaccante, ancora sconosciuto, aveva un altro vantaggio => Apple consente un numero illimitato di tentativi di password. Normalmente, i sistemi limitano il numero di volte in cui qualcuno può provare a accedere a un sistema con una password errata prima che l’account venga bloccato completamente. Apple ha successivamente risolto quel aspetto della vulnerabilità.

“ Gli attaccanti non avrebbero mai dovuto essere autorizzati a fare un numero illimitato di tentativi, ” ha detto Kindlund.

E mentre non ci sono prove dirette che colleghino l’iCloud di Apple all’attacco, il tempismo dell’incidente sembra coincidere con un intervento tenuto da ricercatori di sicurezza sul tema della sicurezza su iCloud.

**

Il programma iBrute è stato creato da ricercatori di sicurezza in Russia come prova di concetto e dimostrato come parte di un intervento a una conferenza sulla sicurezza a San Pietroburgo all’inizio di questo mese.