Notícias

Apple conserta brecha que permitia ataques do tipo ‘brute force’ no iCloud

Brute force no iCloud

Um pouco antes da grande repercussão que gerou o vazamento de fotos nuas de celebridades, uma falha que existia na API do Find My Phone foi divulgada. Ela permitia ataques do tipo “brute force” no site do iCloud, para a tentativa de descobertas de senhas. A Apple já fechou a brecha.

Não há ainda nenhuma evidência que ligue esta falha ao vazamento de fotos. Ela foi publicada no sábado e as fotos foram publicadas no domingo, o que é muito pouco tempo para se conseguir a senha de tantas celebridades e ainda buscar fotos comprometedoras. Tudo indica que o trabalho feito por quem vazou as fotos precisou de vários dias para ser realizado, mas não se descarta a possibilidade de ter se usado um método similar.

security2
O TheNextWeb chupou a imagem feita pelo brasileiro Vinícius K-Max

A falha era básica e bem grave: possibilitava usar scripts no site da Apple que introduzia centenas de tentativas de senha em determinada conta, até encontrar a correta. Este tipo de ataque é bem comum e a maioria dos sites possui proteção contra ele, o que espanta ainda mais que hoje em dia isso ainda possa acontecer em um site tão grande e importante como o iCloud.

Neste final de semana, a Apple arrumou a falha e agora não é mais possível fazer nada do tipo. Mesmo assim, o vacilo foi grande.

security1

Repetimos o que dissemos no outro artigo: nada indica que o iCloud foi hackeado, houve apenas a invasão individual de algumas contas (ou seja, seus dados não foram vazados se sua conta não foi invadida). O que estamos reportando aqui é uma notícia de uma real falha que existia e que ainda não se sabe se tem relação com o evento anterior.

Se for confirmado que a invasão se deu graças a um ataque brute force simples, a falha foi da Apple, por permitir algo tão básico.

Voltamos a enfatizar que o ideal é que cada usuário se preocupe em proteger sua própria conta, com senhas fortes (mais de 10 caracteres) e ativação de verificação em dois passos, que só permite acessar a conta através de um código enviado ao celular ou ao iPad. Confira na edição 11 da Revista iThing todos os passos para proteger sua conta.

via TheNextWeb

Tags
Mostrar mais

iLex

Robô virtual que tem como missão organizar o site e ajudar leitores. De tempos em tempos ele desvirtua e tenta fazer outras coisas, mas nada que um hard reset não resolva.

Artigos Relacionados

  • crypt_script

    vocês pegam as informações do blog do Vinicius Kmax e não dão os créditos? Sério?

    • Henrique A.

      E vc está querendo fazer propaganda desse tal “Vinícius não sei o quê”, achando que está enganando quem? Os créditos da matéria estão abaixo dela, no caso “TheNextWeb”. Presta atenção!

    • Você deve ter algum problema de visão, pois não viu de onde tiramos verdadeiramente a notícia.

      Eu não conheço esse tal de Vinícius, mas ele deve ser legal para ter tantos amigos assim, que chegam por todos os lados com os dois pés na porta, agredindo primeiro e perguntando depois.

      Fui pesquisar e realmente parece que o TheNextWeb roubou a imagem do Vinícius e não deu crédito. Já coloquei o crédito da imagem, como é justo.

      Na próxima vez, seja mais humilde. Você irá mais longe.

  • Maria Isabel ribeiro

    iLex estou um pouco confusa sobre a melhor configuração para meu iPhone 4S; tenho um ID no iPhone o mesmo que acesso iTunes e iCloud; MAS minha conta na Apple, eu tenho outro e-mail que uso para contato; Isto ainda deixa minha conta vulneravel? qual melhor maneira para mim?

    • Lucian

      Nada melhor que uma senha segura. Mesmo possuindo esta falha no sistema, se sua senha é devidamente grande, ninguém pode descobrí-la.

      Teste sua senha aqui: https://howsecureismypassword.net/ (não precisa colocar sua senha de verdade, somente algo parecido – mesmo número de caracteres, números, etc)
      E veja quanto tempo demorariam para descobrí-la usando “força bruta”.

      Veja que mesmo com a falha que permite a tentativa de força bruta, algumas senha demorariam milhares de anos para serem desvendadas. 🙂

      • Maria isabel Ribeiro

        Posso alterar a minha senha de ID sem maiores complicações?

      • Caio Nunes

        Muito legal Lucian este site. A minha senha demora 6 anos para ‘quebrar’, segundo o teste. rs’

      • Marcos

        Gente, uma das coisas mais importantes em uma senha é misturar letras e símbolos.

        Minha senha demoraria 325 milhões de anos para ser descoberta :p

      • Danilo Mesquita

        Segundo o site demorariam 48 anos pra descobrir uma senha parecida com a minha.
        kkkkkkkkkkkkkk

      • Rafael

        51 million years

      • joao

        a senha que normalmente uso em sites que utilizo o PC:
        It would take a desktop PC about106 trillion yearsto crack your password

        mas impossivel eu usar ela digitando no celular. a minha real leva 3 dias.

  • Johannes Georg

    Posso dormir mais tranquilo agora!

  • Gabriel

    Por isso que a minha tem 20 caracteres.

  • Stack

    Tenso hein… prevenir brute force é a regra #1 da SI moderna… kkkk…

  • Gustavo Patrício Fonseca

    Alguém mais tem problema pra receber SMS de confirmação da APPLE? Não sei se tem a ver com a operadora, a minha é a VIVO, mas não consigo ativar a verificação em dois passos porque não chega SMS pra mim.

    • Bruno

      gustavo tbm estou tentando fazer a verificação em duas etapas minha operadora e a vivo e a msg ainda não chegou, creio q algo na apple, pq fiz a verificação de duas etapas no dropbox e a msg chegou na mesma hora, vamos esperar

      • Gustavo Patrício Fonseca

        Oi Bruno, estou em contato com o suporte da Apple. Estão verificando o que pode ser. O atendimento pelo menos está muito bom. Minha esposa, que também é da vivo, não consegue ativar a configuração das Chaves, pelo mesmo motivo. Se tiver solução aviso por aqui.

    • Rodrigo Abdalah Freitas

      O meu é Vivo também e recebi o SMS sem problemas.

  • OverlordBR

    se sua senha é devidamente grande, ninguém pode descobrí-la.

    Só uma correçãozinha: não é que ninguém pode descobrí-la… é que fica mais difícil fazê-lo. 😉
    Mas não é impossível… só improvável.

  • Win_verd

    Olha,o erro existiu.
    A Apple já corrigiu.
    Houveram vítimas.
    Cabe a cada um que foi prejudicado procurar seus direitos.
    Lógico que a Apple não quer expor os dados de seus clientes.Empresa nenhuma quer.

    • Win_verd

      Em tempo:depois do episodio com a atriz…acabei de ativar a verificação por dois passos.
      Não se pode confiar em sistema nenhum mesmo.
      :/

  • Gabriel

    Se esse vazamento foi mesmo do iCloud, não foi do iCloud apenas. Pois algumas fotos foram tiradas com android (fotos no espelho com smartphone da Samsung por exemplo). E se não me engano o iCloud como é hoje, não sobe vídeos, mas posso estar enganado.

  • urubu

    Tremenda Mirinzada da apple. O script python (IBrute) esteve disponível no github por dois dias antes de virar noticia, mas sabe-se lá há quanto tempo o brecha existe. O pessoal tá mais preocupado com nudes mas até as senhas do wifi o icloud armazena (apenas nos Macs). Nesse caso, quem foi rackeado precisa trocar todas as senhas dos seus pontos de acesso.
    Parece que a solução é aplicada por etapas na enorme base de usuários do serviço. Então talvez algumas contas ainda não estejam seguras. Os relatos são de que o script agora simplesmente bloqueia a conta.

  • Guest

    Tremenda Mirinzada da apple. O script python (IBrute) esteve disponível no github por dois dias antes de virar noticia, mas sabe-se lá há quanto tempo o brecha existe. O pessoal tá mais preocupado com nudes mas até as senhas do wifi o icloud armazena (apenas nos Macs). Nesse caso, quem foi rackeado precisa trocar todas as senhas dos seus pontos de acesso.
    Parece que a solução é aplicada por etapas na enorme base de usuários do serviço. Então talvez algumas contas ainda não estejam seguras. Os relatos são de que o script agora simplesmente bloqueia a conta.

  • Anastacia

    Esse povo nao usa android nao?Depois dizem que android domina …domina nao sei o que por que so vejo celebridades com iphones…quando e vazamento de seguranca so pode ser no IOS vira uma machete gigante agora quando e do android ninguem fala nada….falas serio….

    • Giuliano

      É que um vazamento dessa tipo e dessa proporção nunca aconteceu em nenhum outro dispositivo. No fundo o negócio foi mais feio que “apenas” pegar fotos nuas de celebridades. Imagine pessoas, empresas que guardam informações bancarias, sigilosas, detalhes contratuais etc no iCloud achando que estão seguras. Ninguém sabe ainda o tamanho do buraco disso tudo. Fotos de celebridades ganham manchete, por isso ele expôs, mas se o cara pegou outros dados e não divulgou? Teoricamente quase todo mundo que usa o iCloud poderia ter sido hackeado.

  • @dhnmaster

    Cara fan boy da porra. A apple já “admitiu” a merda ao aconselhar a galera a trocar de senha.

  • Wilan Carlos da Silva

    Só uma pergunta, se o cara descobriu a senha das contas por brute force ele não teria que usar essa conta e vincular uma por um em um aparelho ou restaurar o backup? Isso daria um penta de um trabalho.

  • TiãoGavião

    Onde estão as fotos das celebridades “peladas”, quero ver 😛

  • Daniel Alencar

    Caramba…

  • o que me deixa pasma é a Apple não ter feito isso muito antes, tendo em vista que brute force é muito comum.

  • HAHAHAHAHAHAHA Segundo o site demorariam 4 bilhões de anos para descobrirem a minha senha.

    • Felipe Meyer

      Como você digitou ela, demoraram 0 segundos pra descobrir… hahaha

      • só que não, não digitei a minha senha, digitei uma parecida, com a mesma quantidade de caracteres. trabalho com segurança da informação, não seria idiota a ponto de digitar minha senha por aí. 😉

        • Felipe Meyer

          Então só falta aprender a formular frases… Segue a que você escreveu:
          “Segundo o site demorariam 4 bilhões de anos para descobrirem a minha senha.”

          • se você tivesse lido o comentário da pessoa que postou o site nos comentários teria entendido o meu comentário.

            “Teste sua senha aqui: https://howsecureismypassword…. (não precisa colocar sua senha de verdade, somente algo parecido – mesmo número de caracteres, números, etc)E veja quanto tempo demorariam para descobrí-la usando “força bruta”.”

            😉 😉 😉

    • iLex já mostrou esse site em outro Post antigo. Kkk

  • 4 bilhões de anos para descobrirem a minha senha segundo o site. hahahahaha

  • Guilherme

    A melhor coisa seria a verificação em duas etapas, a sua senha pode ter 10-20-30 caracteres, mas se você utiliza a mesma senha em diversos tipos de serviços você já está vulnerável. Outra questão é keylogger, um keylogger consegue capturar qualquer tipo de senha.
    1 – ative a verificação em duas etapas
    2 – utilize uma única senha, forte e diferente para cada tipo de sistema/serviço