Brecha no iCloud pode estar por trás do vazamento de fotos íntimas de celebridades
O último domingo (31) foi marcado pelo vazamento de fotos íntimas de diversas celebridades, como a atriz Jennifer Lawrence, que ameaçou processar pessoas que espalharem as imagens, e a atriz Mary Elizabeth Winstead, que confirmou a veracidade das fotos. A maior suspeita é que a causa do acesso não autorizado às fotos estaria em uma vulnerabilidade no iCloud.
Usuários anônimos do 4chan, fórum em que muitas das imagens foram divulgadas pela primeira vez, afirmam que obtiveram as fotos por meio das contas das celebridades no iCloud. Curiosamente, um script em Python publicado dias antes no GitHub permitia explorar uma falha no iCloud, mais especificamente em uma API do Buscar meu iPhone, que supostamente não tinha proteção contra força bruta.
Sem proteção contra força bruta, um hacker pode desenvolver um script que tente, repetidamente, autenticar-se com inúmeras combinações de login e senha. Não é uma forma tão eficiente de obter acesso a uma conta porque pode levar muito tempo, mas pode ser perfeitamente usada se a senha da vítima não for complexa — e talvez tenha sido o caso das celebridades.
O pesquisador de segurança Vinícius “K-Max” testou o tal script e confirmou que ele funcionou como esperado. Isso não confirma que a falha foi usada para vazar as fotos íntimas, mas mostra que ela, de fato, existia. O The Next Web repetiu o procedimento e afirmou que foi bloqueado após cinco tentativas, indicando que a Apple já trabalhou em uma correção.
O criador do script, “HackApp”, disse no Twitter que a Apple começou a corrigir a vulnerabilidade. Duas horas atrás, um usuário do Reddit havia afirmado que ainda era possível explorar a falha na Itália, sugerindo que a correção estava sendo aplicada gradativamente pela Apple.
A Apple não está comentando o assunto.
Leia | Como recuperar o iCloud de uma pessoa falecida [Apple ID]