Una eina per a policies hauria servit per robar les fotos íntimes d'actrius famoses

BarcelonaUn programa que es defineix com "una solució ideal per a l'aplicació de la llei i organitzacions d'intel·ligència", Elcomsoft Phone Password Breaker, i un diccionari per fer atacs de força bruta, l'iBrute, haurien servit a alguns 'crackers' per robar les fotografies íntimes d'actrius famoses que s'han escampat per la xarxa en l'anomenat #Celebgate, segons explica Wired.

És més, qualsevol, més enllà de les actrius famoses, podria ser víctima d'aquests atacs combinats a les còpies de seguretat dels iPhones emmagatzemades al núvol d'Apple, l'iCloud. A Gawker expliquen que a Anon IB, el fòrum on s'haurien filtrat les primeres fotografies de Jennifer Lawrence, hi havia usuaris que repetien les mateixes operacions amb noies anònimes com a víctimes.

El pitjor moment per a Apple

El #Celebgate arriba en el pitjor moment possible per a Apple: dimarts presentarà el nou iPhone 6 i, possiblement, un sistema de pagament per targeta de crèdit a través del telèfon. La companya insisteix que cap dels casos de filtracions de fotografies que ha investigat és el resultat d'una bretxa de seguretat als seus sistemes, incloent-hi l'iCloud o l'aplicació Find my iPhone. Amb tot, a la pàgina on es pot descarregar l'iBrute s'explica que aprofita que l'aplicació Find my iPhone no està protegida contra atacs de força bruta.

Un atac de força bruta consisteix en un programa que fa servir diccionaris per anar provant paraules, combinacions de paraules i combinacions de lletres, números i altres caràcters fins que troba la paraula clau desitjada. És com anar provant totes les combinacions possibles d'una caixa forta fins que s'encerta l'adequada.

Per fer servir l'iBrute caldria el nom d'usuari del compte que es vol vulnerar. Una vegada l'atac de força bruta aconseguís la contrasenya es tindria accés a l'iCloud, tot i que això no vol dir que se'n puguin descarregar totes les fotografies i dades. Aquí és on entra en joc l'Elcomsoft Phone Password Breaker, que permetria recuperar la còpia de seguretat sencera del telèfon: totes les dades de l'iPhone sense que calgui tenir-lo a la mà. Incloent-hi els missatges de text. Tot i que l'eina d'Elcomsoft és un programa d'anàlisi forense per a policies i agències governamentals, sobretot, la pot comprar qualsevol. I també se'n poden trobar còpies piratejades via BitTorrent, segons Wired.

Consells de seguretat

Segons Apple, per protegir-se d'aquesta mena d'atacs els usuaris d'iPhone han de fer servir una contrasenya segura en l'Apple ID. Això vol dir barrejar lletres minúscules i majúscules i números en una combinació de com a mínim vuit caràcters que no n'inclogui de consecutius ni d'iguals, no s'hagi fet servir el darrer any i no sigui una contrasenya comuna. Oblideu paraules clau com '12345678', '87654321', 'contrasenya', 'C0ntr4s3ny4' o d'altres obvietats. També recomana fer servir la verificació de dues passes –un sistema de seguretat a través de SMS–, tot i que a Techcrunch avisen que no hauria evitat el robatori de fotografies.

Dilluns Apple hauria bloquejat l'ús de l'iBrute a través de Find my iPhone, segons Wired, però el portal de tecnologia explica que les contrasenyes robades fins llavors encara es poden fer servir i que alguns usuaris encara continuaven forçant l'accés a còpies de seguretat alienes perquè el pedaç d'Apple encara no s'havia aplicat a tothom.