iCloud: Falha de segurança ou de bom senso?

Postado em: 1 de setembro de 2014 - Por: Thiago Palmeira

iCloud: Falha de Segurança - Celebrity Naked Security

 

Este fim de semana foi enérgico para muitos adolescentes e taradinhos de plantão. Aparentemente, uma falha no serviço de hospedagem de imagens da Apple, o iCloud, permitiu que fotos íntimas de cerca de 100 celebridades vazassem na internet. As imagens foram postadas no 4chan, e muitas delas estão circulando através de redes sociais e sites de hospedagem de arquivos e imagens.

Ainda não se sabe ao certo qual a real origem do vazamento, mas suspeita-se de que uma vulnerabilidade no serviço Find My iPhone permitiu a realização de ataques de força bruta contra o serviço de hospedagem iCloud. Um script, em Phyton, foi publicado no GitHub explicando que a proteção contra força bruta da API Find My iPhone não havia sido implementada. O script utilizava uma lista de 500 passwords já vazados para exemplificar como a vulnerabilidade podia ser explorada.

A TNW declarou em seu blog que, quando testou a ferramenta, teve sua conta bloqueada após 5 tentativas; o que significa que a Apple corrigiu o furo, apesar de ainda não ter se manifestado sobre o caso ou publicado qualquer informação sobre o patch em sua Knowledge Base.

O blog também comentou ter conversado com o criador do script, via twitter, e este disse que embora não haja evidências, admite que a ferramenta poderia ter sido utilizada para explorar o furo. O autor também publicou uma série de slides, no SlideShare, detalhando seu objetivo e identificando outros problemas na cadeia de chaves de segurança do iCloud, mas o conteúdo foi removido do servidor.

Senhas fracas abrem precedentes

Um ponto importante a se considerar é que, mesmo diante da possibilidade de um ataque de força bruta contra as contas de usuários do iCloud, apenas senhas extremamente fracas seriam comprometidas tão facilmente. Por mais incrível que pareça, ainda é bastante comum encontrar usuários com senhas como “minhasenha”, a data do aniversário ou até mesmo o nome do cachorro; principalmente partindo de usuários que tiram fotos nus e utilizam a sincronização automática de imagens com a nuvem. Clever, people. Very clever.

Mary Winstead Falha de segurança no iCloud

 

Voltando ao escândalo, algumas celebridades assumiram a veracidade das fotos, como o caso da atriz Mary E. Winstead (Scott Pilgrim vs The World), enquanto outras simplesmente alegaram que as imagens eram falsas (fake). Foi o caso da a musa geek Trisha Hershberger, do canal SourceFedNERD, que informou em seu Twitter que, além de utilizar a plataforma Android, suas fotos “vazadas” não continham suas pintas em forma de “mordida de vampiro”.

Tais alegações levantam dúvidas de que parte do conteúdo vazado possa ter originado de outras fontes que não apenas o serviço da Apple. Considerando o número de celebridades expostas no escândalo junto ao fato de que celebridades normalmente se conhecem, é possível que fatores como engenharia social possam ter sido utilizados no processo.

Como evitar que suas fotos sejam roubadas

O blog de segurança da Sophos, o Naked Security deixa um aviso bem irônico sobre como evitar que suas fotos de nudez sejam roubadas por hackers na internet. Através da ilustração de uma nota recortável, o blog espeta usuários que insistem no mau hábito de tirar fotos comprometedoras de si mesmos.

How to avoid having naked photos stolen

 

“Não devo tirar fotos nuas de mim mesmo hoje”, diz o aviso ilustrado, e complementa com outra agulhada ainda mais profunda:

A propósito, é melhor imprimir esta página antes de cortar este aviso. Você não quer danificar o seu monitor. E peça, a um adulto, ajuda com as tesouras.

Magoadinhos? Pessoal, a realidade é dura: a internet não é segura. Se você não quer arriscar aparecer peladinho(a) na internet, a dica é única: Não tirem fotos nus.

 

Peladões: Liberem a criptografia e censurem a sincronização!

Se porventura tirarem fotos peladões, habilitem a criptografia em seus aparelhos e não sincronizem estas imagens com a nuvem (vide nunca, jamais, de forma alguma). É simples.

E para todos que estão se divertindo com as imagens daquelas beldades, façam o favor de “usar camisinha”: sejam seguros. Também não queremos imagens das suas sujeirinhas vazando na internet.

Leia também