Problema foi revelado após a prova de conceito de uma ferramenta chamada IDICT, lançada em GitHub este mês.
A Apple anunciou que corrigiu um problema que colocaria em risco os usuários do serviço iCloud. Essa nova ferramenta permitiria que os cibercriminosos lançassem ataques contra os usuários do iCloud a fim de violar as suas senhas.
McAfee divulga dicas de segurança para proteger dispositivos conectados
O problema foi revelado tona após a prova de conceito de uma ferramenta chamada IDICT, lançada em GitHub este mês.
Desenvolvida pelo usuário com o pseudônimo on-line Pr0x13, a ferramenta foi descrita como “100% Working iCloud Apple ID Dictionary attack that bypasses Account Lockout restrictions and Secondary Authentication on any account.”
Ele experimentou um grande número de senhas de IDs da Apple atacados. Por padrão, a ferramenta veio com um arquivo – também chamado de um dicionário – contendo as 500 senhas mais usadas, mas a lista poderia facilmente ter sido prorrogada.
Serviços online, como o iCloud, tipicamente limitam o número de tentativas de login falhadas por conta própria, a fim de evitar ataques de força bruta, mas Pr0x13 supostamente encontrou uma maneira de contornar essas proteções.
Pr0x13 afirma que tornou público IDICT para chamar a atenção da Apple para o problema e forçar a fabricante a corrigi-lo. “Este bug é dolorosamente óbvio e era apenas uma questão de tempo antes que ele foi usado em particular para atividades maliciosas ou nefastas”, disse ele na descrição da ferramenta.
A Apple foi relativamente rápida e começou a limitação de taxa de tentativas de log-in feito com IDICT um dia depois de a ferramenta se tornou disponível.
“IDICT é remendado”, disse Pr0x13 no Twitter. “Suspenda seu uso se você não deseja bloquear sua conta.”
Este ataque vem depois de as contas do iCloud de várias celebridades, incluindo Jennifer Lawrence, Kate Upton e Kirsten Dunst, terem fotos privadas roubadas em setembro.
Após o incidente a Apple implementou a autenticação de dois fatores para as contas do iCloud. Os usuários são aconselhados a ativar o recurso.
