Gli attacchi con il metodo cosiddetto “a forza bruta” usati per ottenere le password degli account iCloud di alcune celebrità e diffondere in rete foto private, potevano essere evitati se Apple fosse stata più solerte nel risolvere una vulnerabilità. La Casa della Mela ha ignorato le segnalazioni se è vero che, a quanto pare, Ibrahim Balic, esperto in sicurezza informatica turco residente a Londra, aveva sei mesi addietro avvisato Apple del potenziale problema. Il 26 marzo di quest’anno Balic afferma di aver inviato una mail a Cupertino evidenziando come attacchi usando script automatici e dizionari (una tecnica mirata a “rompere” un codice cifrato o un meccanismo di autenticazione individuando la password dopo un gran numero di possibilità) avrebbero potuto consentire l’accesso ai dati sfruttando semplicemente una serie continua e sistematica di tentativi d’inserimento della password.
Balic spiegò a suo tempo ad Apple che era riuscito a eseguire fino a 20.000 prove (combinazioni di password) su ogni singolo account. Il ricercatore afferma di avere segnalato la vulnerabilità non solo via mail ma anche usando la piattaforma della Mela per segnalare bug. Dal canto suo continuava a ricevere mail di Apple con richieste di ulteriori delucidazioni, rispiegando ogni volta che il problema non era stato risolto (Cupertino metteva in dubbio la validità dell’hack affermando che occorrevano tempi lunghissimi per trovare token di autenticazione validi).
All’inizio di questo mese, dopo il clamore suscitato dalla faccenda, Apple ha spiegato che le foto private di varie celebrità salvate sul servizio cloud sono state ottenute con tecniche molto semplici, sfruttando l’ingenuità di utenti che hanno usato username, password e risposte a domande segrete piuttosto semplici da ottenere. Pur vero quanto affermato da Apple, se quest’ultima fosse stata più solerte, avrebbe ad ogni modo potuto individuare connessioni ripetute in breve tempo, bloccando sul nascere (come fa ora) tentativi d’intromissione che sfruttano semplici attacchi automatici ripetuti infinite volte fino a individuare la password corretta.
Balic Ibrahim non è estraneo non è nuovo nell’individuare falle nei servizi di Apple: a luglio dello scorso anno fece chiudere per un breve periodo il sito di Cupertino dedicato agli sviluppatori, dopo avere individuato in questo 13 differenti bug e una falla che avrebbe potuto permette di accedere alle informazioni del sito di sviluppo.
