iCloud forse non ha delle backdoor, ma Apple non manca di colpe. Questa la conclusione cui giunge un articolo pubblicato questa notte da Wired e che, spiegando molto dettagliatamente le tecniche usate dai malintenzionati per rubare immagini private dagli account iCloud di alcune celebrità, punta il dito contro le leggerezze dei vertici dell’azienda americana. Il servizio, molto interessante perchè rivela strumenti e metodi impiegati dal non rado popolo degli spioni, parte da alcune affermazioni rilasciate nel corso della serata di Apple, secondo la quale la vicenda nasce da password troppo deboli e dal mancato uso delle password con verifica a due passaggi. Ma se anche iCloud non è stato compromesso in senso proprio, Apple, si comprende dall’articolo, avrebbe potuto fare di più e di meglio.
L’applicazione su cui gli hacker hanno fatto perno è Phone Password Breaker (EPPB) un’applicazione creata in Russia e (formalmente) destinata alle forze di polizia, ma che si trova anche piratata su Internet. EPPB attraverso un processo di reverse engineering, consente ad un malintenzionato di scaricare in locale l’intero backup fingendo di essere l’iPhone del legittimo possessore. Tutto quel che serve al malintenzionato è conoscere la login e la password della vittima, informazioni che gli hacker avrebbero ottenuto con iBrute, un software che si logga in un sistema e poi tenta e ritenta anche decine di migliaia o centinaia di migliaia di volte fino a quando non indovina la giusta combinazione di un account. Usando questa combinazione di applicazioni, di cui ci sono tracce nei metadati delle foto rubate come testimonia l’investigatore Jonathan Zdziarski, i pirati annidati sul forum Anon-IB, avrebbero avuto accesso ad una serie di informazioni e dettagli privati che semplicemente accedendo con iBrute (come pare supporre Apple) non avrebbero potuto avere.
Da qui arrivano le accuse, implicite, ad Apple da parte degli esperti di sicurezza. Se è vero che le celebrità di Hollywood non avrebbero dovuto usare password come, ad esempio, “12345” “Mamma” o “Amore” e mettere come domanda di sicurezza “come si chiama il tuo animale domestico preferito” (visto che cose come queste si trovano su tutti i giornali di gossip), dall’altra Cupertino ha sbagliato a non forzare l’uso di un sistema di autenticazione a due fattori ed a lasciare libero un sistema informatico di provare all’infinito fino a quando non trova la password giusta. Che questa semplice procedura avrebbe avuto il potere di fermare l’attacco sul nascere lo dice l’inventore di iBrute, Alexey Troshichev, che lunedì si è rammaricato della “fine del gioco” quando Apple, dopo la scoperta della fuga di notizie, ha bloccato a cinque i tentativi di immissione della password sbagliata. Di fatto, dice Zdziarski, Apple dovrebbe considerare questo errore una “falla” a pieno diritto, invece che chiamarsi fuori sostenendo che la colpa è di password deboli.
Un secondo problema ed una seconda colpa deriva dalla mancata attenzione al fatto che una azienda come Elcomsoft ha potuto fare il reverse engineering del protocollo usato da Apple per far comunicare iCloud e i dispositivi iOS; grazie a questa operazione EPPB, grazie alle password rubate, fa credere ad iCloud di essere il telefono della vittima e si fa inviare l’intero backup da gestire “comodamente” in locale. Non si limita a scaricare solo le foto, ma anche video, messaggi di testo e tutta una serie di informazioni che potrebbero essere usate anche in futuro per infastidire di nuovo le vittime o ricattarle.
«Apple – aggiunge l’investigatore ed esperto di tecnologie per la sicurezza Zdziarski – avrebbe potuto rendere questa operazione molto più difficile o addirittura impedirla. Avere una terza parte che si finge un hardware, è una seconda vulnerabilità, visto che si permette ad altre realtà di continuare ad interfacciarsi con il sistema che dovrebbe essere protetto. Apple potrebbe intraprendere dei passi per impedire tutto questo e io penso che dovrebbe»
