220 mila account iCloud hackerati: iPhone e iPad jailbroken a rischio

220 mila account iCloud hackerati: iPhone e iPad jailbroken a rischio

Il servizio in cloud di Apple è ancora una volta stato sfruttato per ottenere le informazioni sensibili dei suoi utenti. iPhone e iPad sono a rischio, ma solo se si è applicato il jailbreak

di pubblicata il , alle 10:11 nel canale Apple
AppleiPhone
 

WooYun, che si occupa di sicurezza informatica online e della ricerca di vulnerabilità, ha riportato che 220 mila account iCloud sono stati compromessi. Stando al report, l'attacco è avvenuto per mezzo di un plug-in o tweak malevolo fra quelli installabili attraverso Cydia, quindi su dispositivi su cui è stato effettuato il jailbreak. Gli iPhone non modificati sono apparentemente al sicuro e l'attacco non è relativo a problematiche direttamente legate all'infrastruttura Apple.

Ad una prima analisi, tuttavia, appare decisamente improbabile che un hack che coinvolge solo iPhone jailbroken (quindi una nicchia) riesca ad ottenere una diffusione così ampia. Soprattutto se si considera l'ipotesi per cui tutto è partito da un unico tweak. Bisogna considerare, però, che soprattutto in Cina molti commercianti vendono iPhone con il jailbreak già applicato: il tool Pangu è estremamente popolare nello stato asiatico e per questo molti decidono di preinstallarlo sui dispositivi messi in vendita.

Secondo una delle ipotesi considerate in un primo momento l'attacco potrebbe essere l'esito di una strategia finemente organizzata, in cui alcuni commercianti hanno volontariamente immesso in circolazione dispositivi contraffatti con la vulnerabilità installata. Sembra invece confermata l'ipotesi per cui la backdoor è integrata su alcune versioni di tweak celebri "piratati" e fornite gratis illegalmente da repository non affidabili. Installando il tweak contraffatto lo smartphone diventa automaticamente soggetto alla manomissione del proprio account iCloud.

Non è la prima volta che iCloud, il servizio online in cui iPhone e iPad conservano di default parecchie informazioni sensibili, è vittima di hacker. È sicuramente rimasto nelle memorie di molti lo storico celeb-gate, il caso che aveva messo a nudo (in tutti i sensi) Jennifer Lawrence e molti altri personaggi noti di tutto il mondo. Anche in quel caso non erano state le infrastrutture di Apple ad essere state violate, con l'hack avvenuto sfruttando soprattutto la sbadataggine degli utenti coinvolti.

Per quanto concerne il nuovo hack non sappiamo quanto sia diffuso e se in realtà sia riuscito a valicare i confini asiatici (ipotesi che sembra molto poco probabile). Per proteggersi è possibile ad esempio abilitare le procedure di autenticazione a due fattori dell'account iCloud, mentre è sempre richiesto un pizzico di buon senso da parte dell'utente. Se proprio non si può fare a meno del jailbreak (che per sua natura espone il dispositivo ad eventuali rischi esterni), è bene comunque affidarsi alle repository più popolari e affidabili e non installare tweak da fonti sconosciute.

24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappatoreconlazappa28 Agosto 2015, 10:20 #1
Non è la prima volta che iCloud, il servizio online in cui iPhone e iPad conservano di default parecchie informazioni sensibili, è vittima di hacker. È sicuramente rimasto nelle memorie di molti lo storico celeb-gate, il caso che aveva messo a nudo (in tutti i sensi) Jennifer Lawrence e molti altri personaggi noti di tutto il mondo. Anche in quel caso non erano state le infrastrutture di Apple ad essere state violate, con l'hack avvenuto sfruttando soprattutto la sbadataggine degli utenti coinvolti.


come sempre nino difende la apple dalla verità :P
in quel caso c'era un bug sul sistema di autentificazione di icloud e permetteva l'attacco brute force per trovare una password
ma per nino è colpa degli utenti se la apple sbaglia ))
benderchetioffender28 Agosto 2015, 10:56 #2
ma sopratutto: quali repo? hanno un nome i mascalzoni? chiaro che tutti i repo son rischiosi, ma se son saltati 200k account, sarebbe il caso di sapere QUALI repo sono velenosi.. ecchecacchio!
FirePrince28 Agosto 2015, 10:58 #3
Un attacco brute force difficilmente ha successo se la password non consiste in pochi caratteri (o magari sei numeri, come una data di nascita!); in quell'occasione la colpa fu degli utenti che scelsero password ridicole...
Alfhw28 Agosto 2015, 10:58 #4
Originariamente inviato da: zappatoreconlazappa
come sempre nino difende la apple dalla verità :P
in quel caso c'era un bug sul sistema di autentificazione di icloud e permetteva l'attacco brute force per trovare una password
ma per nino è colpa degli utenti se la apple sbaglia ))

Certo che è colpa degli utenti! Impugnavano l'iPhone con la mano sbagliata mentre accedevano ad iCloud!
lobotom17328 Agosto 2015, 11:03 #5
Originariamente inviato da: FirePrince
Un attacco brute force difficilmente ha successo se la password non consiste in pochi caratteri (o magari sei numeri, come una data di nascita!); in quell'occasione la colpa fu degli utenti che scelsero password ridicole...


Originariamente inviato da: Alfhw
Certo che è colpa degli utenti! Impugnavano l'iPhone con la mano sbagliata mentre accedevano ad iCloud!


Fuori di dubbio che la colpa della scelta di una password idiota spetta a chi la imposta dall' altra parte contando che a livello di diffusione iOS non è certo di nicchia Apple avrebbe dovuto implementare fin da subito un sistema in 2 step magari evitando che si potessero fare attacchi bruteforce (limitando quindi il numero dei tentativi e avvisando via email dei tentativi non andati a buon fine).

Molti servizi al momento dell' attacco avevano già sistemi più sicuri, Dropbox e LogMeIn per citarne 2.

Con un AppleiD oltre a poter spendere i soldi della carta di credito puoi bloccare terminali e ripristinare backup completi clonando di fatto qualsiasi dispositivo con tutto il suo contenuto, foto, email, account, calendari, rubrica ecc..ecc.. non è robetta
Alfhw28 Agosto 2015, 11:07 #6
Originariamente inviato da: FirePrince
Un attacco brute force difficilmente ha successo se la password non consiste in pochi caratteri (o magari sei numeri, come una data di nascita!); in quell'occasione la colpa fu degli utenti che scelsero password ridicole...


A parte le battute se non ricordo male c'era un bug o mancanza in iCloud che permetteva di provare infinite password su un account invece di bloccarlo dopo pochi tentativi falliti. Inoltre iCloud ha solo una cifratura server-side. Se avesse una cifratura client-side (tipo Wuala e pochi altri) la violazione dell'account sarebbe inutile perché avrebbero accesso solo a dati illeggibili.
klept28 Agosto 2015, 11:09 #7
FAPPENING 2K15 INCOMING!
AlexSwitch28 Agosto 2015, 11:20 #8
Originariamente inviato da: zappatoreconlazappa
come sempre nino difende la apple dalla verità :P
in quel caso c'era un bug sul sistema di autentificazione di icloud e permetteva l'attacco brute force per trovare una password
ma per nino è colpa degli utenti se la apple sbaglia ))


La colpa è degli utenti che usano password ridicole come " 12345 " o " Cindy123 "... Puoi avere il sistema di sicurezza migliore del mondo, ma se la tua chiave non vale nulla ci sarà sempre una porta spalancata....
AlexSwitch28 Agosto 2015, 11:29 #9
Originariamente inviato da: lobotom173
Fuori di dubbio che la colpa della scelta di una password idiota spetta a chi la imposta dall' altra parte contando che a livello di diffusione iOS non è certo di nicchia Apple avrebbe dovuto implementare fin da subito un sistema in 2 step magari evitando che si potessero fare attacchi bruteforce (limitando quindi il numero dei tentativi e avvisando via email dei tentativi non andati a buon fine).

Molti servizi al momento dell' attacco avevano già sistemi più sicuri, Dropbox e LogMeIn per citarne 2.

Con un AppleiD oltre a poter spendere i soldi della carta di credito puoi bloccare terminali e ripristinare backup completi clonando di fatto qualsiasi dispositivo con tutto il suo contenuto, foto, email, account, calendari, rubrica ecc..ecc.. non è robetta


Ma proprio no.... L' Apple ID è legato univocamente ai dispositivi a cui è registrato tramite codice di serie di questi... Se si accede ad uno di questi, o viene collegato a macchine non registrate, si viene subito informati e se non si da esplicitamente il consenso che sia un accesso sicuro, l'ID viene momentaneamente disattivato da Apple.... E' capitato a me il mese scorso... ho collegato mio iPhone ad un Mac diverso dai miei soliti solo per ricaricarlo ed ho ignorato l'avviso di autorizzazione... Dopo pochi minuti Apple mi ha mandato una mail in cui mi informava che il Apple ID era stato bloccato con un link per la procedura di sblocco.
zappatoreconlazappa28 Agosto 2015, 12:01 #10
Originariamente inviato da: AlexSwitch
La colpa è degli utenti che usano password ridicole come " 12345 " o " Cindy123 "... Puoi avere il sistema di sicurezza migliore del mondo, ma se la tua chiave non vale nulla ci sarà sempre una porta spalancata....


anche se usi password stupide però il sistema ti deve bloccare dopo 3 tentativi sbagliati e non lasciarti fare un attacco a dizionario
per quelli che parlano della complessità della password : una password alfanumerica da 8 caratteri è molto meno sicura di una password da 12-16 lettere semplici tipo "ciaocomevali"
quindi anche mettere il nome del proprio cane scritto 2 o 3 volte è sicuro più di :sdSDF13

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^