Brecha de seguridad en iCloud que Apple ocultó

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A fines del año pasado, cuando un grupo desconocido de hackers robó tokens de acceso secreto para millones de cuentas de Facebook aprovechando una falla en su sitio web, la compañía reveló el incidente e informó a los usuarios afectados.

De manera similar, cuando Twitter se vio afectado por múltiples vulnerabilidades en los últimos meses, la compañía de medios sociales reveló esos incidentes e informó a los usuarios afectados.

Le siguió Google, que cerrará su red de redes sociales Google+ en abril de este año luego de admitir dos fallas de seguridad en su plataforma que expusieron datos privados de cientos de miles de usuarios a desarrolladores externos.

Resulta que Apple también posiblemente sufrió una brecha en la privacidad a fines del año pasado debido a un error en su plataforma, que pudo haber expuesto algunos de sus datos de iCloud a otros usuarios, pero la compañía decidió mantener el incidente en secreto ... tal vez porque "no valía la pena revelarlo", o quizás era mucho más complicado.

La semana pasada, el investigador de seguridad turco Melih Sevim afirmó haber descubierto una falla en los servicios de Apple que le permitió ver datos parciales, especialmente notas, de cuentas aleatorias de iCloud, así como en usuarios específicos, solo con saber el número de teléfono asociado.

Melih confirmó que descubrió la supuesta falla en octubre de 2018, y luego informó de manera responsable al equipo de seguridad de Apple con pasos para reproducir el error y una demostración de video, que muestra cómo pudo leer los datos personales de iCloud de otros usuarios de Apple. sin su conocimiento.

Después de parchearlo en noviembre de 2018, Apple reconoció el problema a Melih pero respondió que la compañía ya lo había abordado antes de recibir los detalles de él.

Apple cerró inmediatamente el caso.

Según la explicación de Melih, la supuesta falla residía en la forma en que Apple vinculaba "internamente", ya sea accidental o intencionalmente, un número de teléfono guardado en la información de facturación de un ID de Apple, a la cuenta de iCloud en un dispositivo, que usa el mismo número de teléfono.

Según Melih, después de seguir algunos pasos específicos en su iPhone y luego guardar un nuevo número de teléfono vinculado a otro ID de Apple en la configuración de información de facturación de su dispositivo, pudo ver datos parciales de iCloud de la cuenta asociada con ese número.

Dado que la falla se encontraba en la sección de configuración de iCloud para dispositivos iOS que se cargan desde servidores de Apple en tiempo real a través de Internet, el equipo de Apple lo parchó silenciosamente desde el fondo sin lanzar una nueva actualización de iOS.

Si el informe de Melih es preciso, el siguiente detalle hace que el problema sea más serio ...

Melih también reveló que, el cuadro de texto que le pedía a los usuarios que ingresaran un número de teléfono no estaba validando la entrada del usuario, lo que permitía a un atacante guardar una entrada de un solo dígito.

Como se muestra en la demostración de video compartida por Melih, el truco finalmente explotó la misma falla para obtener datos personales de cuentas aleatorias de iCloud que hacen coincidir el dígito de entrada con sus números de teléfono asociados.



Apple reconoció el problema, pero ...

Apple reconoció el informe del error, diciendo que "el problema se corrigió en noviembre", sin responder a algunas otras preguntas importantes, incluida la cantidad de semanas que permaneció el fallo abierto, la cantidad estimada de usuarios afectados (si corresponde) y si hay alguna evidencia de explotación maliciosa.

Bueno, eso fue raro, pero no nuevo ...

Justo ayer, Apple eliminó temporalmente su servicio Group FaceTime después de la divulgación pública de un error en su aplicación de videollamada que permite a los usuarios de FaceTime escuchar o ver a otros usuarios incluso antes de atender la llamada.
Más tarde, se descubrió que un chico de 14 años de edad, aparentemente, notificó a Apple el error de escucha de FaceTime hace más de una semana, antes de que apareciera en los titulares, pero nuevamente, el equipo de seguridad de Apple no se comunicó rápidamente, dejando a sus millones de usuarios sin darse cuenta sobre el problema y los riesgo.

Si la sospecha de fuga de iCloud fue menor, entonces Apple podría habernos confirmado, pero el silencio sobre el informe hace que el incidente sea más sospechoso.

Actualizaremos esta historia a medida que escuchemos más.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta[/size]