iCloud posiblemente sufrió una violación de privacidad el año pasado que Apple mantuvo en secreto

hackear apple icloud

A fines del año pasado, cuando un grupo desconocido de piratas informáticos robó tokens de acceso secretos para millones de cuentas de Facebook aprovechando una falla en su sitio web, la compañía reveló el incidente e informó a los usuarios afectados.

De manera similar, cuando Twitter se vio afectado por múltiples vulnerabilidades (# 1, # 2, # 3) en los últimos meses, la empresa de redes sociales reveló esos incidentes e informó a sus usuarios afectados.

¿Y adivina qué? Google cerrará su red social Google+ en abril de este año después de admitir dos fallas de seguridad en su plataforma que expusieron datos privados de cientos de miles de usuarios a desarrolladores externos.

Resulta que Apple posiblemente también sufrió una violación de la privacidad a fines del año pasado debido a un error en su plataforma que podría haber expuesto algunos de sus datos de iCloud a otros usuarios, pero la compañía optó por mantener el incidente en secreto… tal vez porque era No vale la pena revelarlo, o tal vez sea mucho más complicado.

La semana pasada, el investigador de seguridad turco Melih Sevim se puso en contacto con The Hacker News y afirmó haber descubierto una falla en los servicios de Apple que le permitía ver datos parciales, especialmente notas, de cuentas aleatorias de iCloud, así como de usuarios de iCloud específicos simplemente conociendo su teléfono asociado. números.

Melih confirmó a The Hacker News que descubrió la supuesta falla en octubre de 2018 y luego lo informó de manera responsable al equipo de seguridad de Apple con pasos para reproducir la falla y una demostración en video, que muestra cómo pudo leer datos personales de iCloud de otros usuarios de Apple. sin su conocimiento.

«Descubrí que cuando hay una transferencia de datos activa entre el usuario y los servidores de Apple si abro mi cuenta de iCloud (del atacante), existe la posibilidad de ver algunos datos aleatorios en cada actualización debido al error», dijo Melih a The Hacker News. .

Después de parchearlo en noviembre de 2018, Apple reconoció el problema a Melih, pero respondió que la compañía ya lo había abordado antes de recibir detalles de él.

Apple inmediatamente cerró el ticket y enterró el plomo.

Un error misterioso de iCloud

Según la explicación de Melih, la supuesta falla residía en la forma en que Apple vinculó «internamente», ya sea accidental o intencionalmente, un número de teléfono guardado en la información de facturación de una ID de Apple a la cuenta de iCloud en un dispositivo que usa el mismo número de teléfono.

ajustes icloud de manzana

Según Melih, después de seguir algunos pasos específicos en su iPhone y luego guardar un nuevo número de teléfono vinculado a otra ID de Apple en la configuración relacionada con la información de facturación en su dispositivo, pudo ver datos parciales de iCloud de la cuenta asociada con ese número.

«Supongamos que si el número de móvil de abc@icloud.com es 12345 y cuando ingreso el número de móvil 12345 en mi cuenta de ID de Apple xyz@icloud.com, podría ver los datos de abc en la cuenta de xyz», dijo Melih a THN.

«Durante mi investigación, vi muchas notas de otros usuarios de Apple que guardaban la información y las contraseñas de sus cuentas bancarias en iCloud».

Dado que la falla estaba en la sección de configuración de iCloud para dispositivos iOS que se cargan desde los servidores de Apple en tiempo real a través de Internet, el equipo de Apple la reparó silenciosamente desde el fondo sin lanzar una nueva actualización de iOS.

Si el informe de Melih es exacto, el siguiente detalle hace que el problema sea más serio…

Melih también confirmó a The Hacker News que el cuadro de texto que pedía a los usuarios que ingresaran un número de teléfono no estaba validando la entrada del usuario, lo que permitía que un atacante incluso guardara una entrada de un solo dígito.

fuga de icloud de manzana

Como se muestra en el video de demostración compartido por Melih con THN, el truco finalmente aprovechó la misma falla para obtener datos personales de cuentas aleatorias de iCloud que coincidían con el dígito de entrada con sus números de teléfono asociados.

Apple reconoció el problema, pero…

Para confirmar el error de Melih y conocer el alcance total del incidente, nos comunicamos con el equipo de seguridad de Apple antes de publicar este artículo.

En respuesta al correo electrónico de The Hacker News y sabiendo que estamos trabajando en una historia, Apple reconoció el informe de error y dijo que «el problema se corrigió en noviembre», sin responder a otras preguntas importantes, incluida la cantidad de semanas que permaneció la falla. abierto, el número estimado de usuarios afectados (si los hay) y si hay alguna evidencia de explotación maliciosa?

Bueno, eso fue raro, pero no nuevo…

Ayer mismo, Apple eliminó temporalmente su servicio Group FaceTime después de la divulgación pública de un error en su aplicación de videollamadas que permite a los usuarios de FaceTime escuchar o ver a otros usuarios incluso antes de atender la llamada.

Más tarde resultó que Apple aparentemente estaba notificado del error de espionaje de FaceTime a través de un hace una semana por un chico de 14 años Muchacho antes de que llegara a los titulares, pero nuevamente, el equipo de seguridad de Apple no se comunicó con prontitud, dejando a sus millones de usuarios inconscientes del problema y en riesgo.

Si la supuesta fuga de iCloud fuera menor, entonces Apple podría habernos confirmado, pero el silencio sobre el informe hace que el incidente sea más sospechoso.

Actualizaremos esta historia a medida que escuchemos más.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática