O último domingo (31) foi marcado pelo vazamento de fotos íntimas de diversas celebridades, como a atriz Jennifer Lawrence, que ameaçou processar pessoas que espalharem as imagens, e a atriz Mary Elizabeth Winstead, que confirmou a veracidade das fotos. A maior suspeita é que a causa do acesso não autorizado às fotos estaria em uma vulnerabilidade no iCloud.

Usuários anônimos do 4chan, fórum em que muitas das imagens foram divulgadas pela primeira vez, afirmam que obtiveram as fotos por meio das contas das celebridades no iCloud. Curiosamente, um script em Python publicado dias antes no GitHub permitia explorar uma falha no iCloud, mais especificamente em uma API do Buscar meu iPhone, que supostamente não tinha proteção contra força bruta.

icloud

Sem proteção contra força bruta, um hacker pode desenvolver um script que tente, repetidamente, autenticar-se com inúmeras combinações de login e senha. Não é uma forma tão eficiente de obter acesso a uma conta porque pode levar muito tempo, mas pode ser perfeitamente usada se a senha da vítima não for complexa — e talvez tenha sido o caso das celebridades.

O pesquisador de segurança Vinícius “K-Max” testou o tal script e confirmou que ele funcionou como esperado. Isso não confirma que a falha foi usada para vazar as fotos íntimas, mas mostra que ela, de fato, existia. O The Next Web repetiu o procedimento e afirmou que foi bloqueado após cinco tentativas, indicando que a Apple já trabalhou em uma correção.

O criador do script, “HackApp”, disse no Twitter que a Apple começou a corrigir a vulnerabilidade. Duas horas atrás, um usuário do Reddit havia afirmado que ainda era possível explorar a falha na Itália, sugerindo que a correção estava sendo aplicada gradativamente pela Apple.

A Apple não está comentando o assunto.

Leia | Como recuperar o iCloud de uma pessoa falecida [Apple ID]

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.