Sicurezza

Foto di celebrity nude: i buchi di Apple iCloud

La Mela prima smentisce ogni possibile falla nelle sue app poi segue la via del silenzio. Intanto sul web ci sono le prove della vulnerabilità 

– Credits: Mario Hernández , Flickr

Il clamore suscitato ieri dalle foto di un centinaio di celebrità , tra attrici, cantanti e sportive, in pose "private" pubblicate in rete non cenna a diminuire. Più che il voyeurismo in sé, ciò che desta maggiore preoccupazione è il metodo con cui gli hacker avrebbero rubato le foto dagli smartphone e tablet delle vip. Se in un primo momento si era pensato ad una tipica truffa phishing, con cui vengono utilizzate varie tecniche subdole per entrare in possesso delle credenziali di accesso ad una piattaforma attraverso richieste via email, adesso il problema sembra concentrarsi esclusivamente su iCloud, il servizio di Apple che permette di conservare foto, video, musica e altri tipi di file sulla nuvola, senza averli fisicamente sul cellulare.

Secondo quanto riportato da alcune testate, la vulnerabilità sul servizio iCloud sarebbe stata pubblicata su Github e alla mercé di tutti. Questo vuol dire che il codice pronto e finito per violare la sicurezza della nuvola di Apple è stato reso noto pubblicamente per qualche ora. A questo punto gli sviluppatori hanno scoperto che la funzione presente su iPhone "Find my iPhone" poteva essere compromessa da quello che è conosciuto come "attacco bruto", in cui vengono inserite in una serie incredibile di successione centinaia di password, fin quando non viene riconosciuta quella usata dall'utente del servizio di localizzazione dell'iPhone. 

Una volta scoperta la password associata ad un nome utente, entrare nelle cartelle di iCloud è uno scherzo e rubare foto o altro materiale sensibile diventa semplicissimo. Apple non fa altro che negare un problema del genere, ma a quanto ne sappiamo, i tecnici avrebbero già rilasciato una patch automatica per risolverlo. Secondo alcuni, il problema di sicurezza sarebbe anche maggiore: Apple si sarebbe concentrata sul rilascio di una patch che risolve un problema diverso da quello sfruttato dagli hacker.

Del resto sono proprio gli esperti di sicurezza a dire come la vulnerabilità usata dagli hacker di iCloud sia possibile e, non è da escludersi, presente anche su altre piattaforme. Meno probabile invece un'azione di hacking globale contro Apple e i suoi server. Difficile infatti che le infrastrutture dell'azienda di Cupertino possano cadere interamente sotto un attacco di "brute force", che avrebbe invece preso di mira i singoli account delle 101 vittime.

Apple non si è sbilanciata sulla vicenda, ma si è limitata a dire di aver avviato tutte le necessarie procedure di verifica del caso. Gran parte del lavoro di investigazione si sta concentrando sull'affidabilità dell'autenticazione a due fattori, in cui Apple (come le altre aziende che la utilizzano) richiede all'utente un codice numerico abbinato ad un numero di cellulare, oltre ai classici nome utente e password. C'è da capire se gli account violati avessero attiva, o meno, l'autenticazione a due fattori, per escludere una delle ipotesi sulle modalità di intrusione e hackeraggio.

 
© Riproduzione Riservata

Commenti