Investigador revela fallo que permitió hackear cuentas de iCloud

A pesar de todas las características de seguridad del manzana, sus sistemas no son infalibles y tienen fallas, tanto que la compañía tiene un programa de recompensas (Apple Security Bounty) para los investigadores que encuentran posibles fallas en su software.

Recientemente, sin embargo, un desarrollador indio descubrió una vulnerabilidad que le permitía entrar en cuentas. iCloud – que ha sido correctamente corregido, vale la pena señalarlo.

El investigador Laxman Muthiyah detalló la vulnerabilidad en el El Zero Hack, indicando que estaba explotando la función de recuperación de contraseña de ID de Apple. A partir del llamado “ataque de fuerza bruta”, logró eludir las medidas de seguridad de Apple (como limitar intentos, bloqueo de IP ante múltiples solicitudes, entre otras) y obtener la información necesaria para hackear cuentas de iCloud.

Esto, como podemos imaginar, no fue exactamente una tarea fácil, como lo describe Muthiyah.

Por supuesto, el ataque no es fácil de realizar y debemos estar configurados correctamente para aprovechar con éxito esta vulnerabilidad. Primero, debemos ignorar el código SMS de 6 dígitos1 y luego el código de 6 dígitos recibido en la dirección de correo electrónico. Ambas ramas se basan en el mismo método y entorno, por lo que no tuvimos que cambiar nada al probar la segunda rama. Incluso si un usuario tiene activada la autenticación de dos factores, aún podremos acceder a su cuenta porque 2FA también comparte el límite de reintentos, que era vulnerable.

Cómo hace el texto, Muthiyah se puso en contacto con Apple con información sobre la vulnerabilidad y pasó meses verificando que la compañía había solucionado el problema, que ocurrió el 1 de abril de 2021.

Durante ese contacto, los ingenieros de Apple dijeron que la vulnerabilidad estaba restringida a un número muy pequeño de usuarios y que funcionaba «solo con cuentas de iCloud que no se usaban en dispositivos protegidos con contraseña».

Sin embargo, el investigador le demostró al equipo que este no era el caso y que la falla podría afectar a un número aún mayor de usuarios. Después de múltiples negociaciones, Apple incluso cambió la información en una página de soporte; aun así, la compañía no reconoció la verdadera gravedad del error.

Al final de este proceso, Apple ofreció US $ 18 mil por descubrir el error, pero Muthiyah lo negó ya que la recompensa por este tipo de vulnerabilidad sería al menos $ 100 mil, según la página de recompensas de la empresa.

La recompensa real mencionada relacionada con el control de las cuentas de iCloud en el sitio web de Apple es de $ 100,000. La extracción de datos confidenciales de un dispositivo Apple bloqueado cuesta 250.000 dólares. Mi informe cubría ambos escenarios (asumiendo que la vulnerabilidad de la contraseña se solucionó después de mi descubrimiento), por lo que la recompensa real debería ser de $ 350,000.

Pero $ 18,000 no se acerca a la recompensa real. Digamos que todas mis suposiciones eran incorrectas y que la contraseña de verificación del sistema de Apple no era vulnerable antes de mi descubrimiento. Aun así, la recompensa otorgada no es justa considerando el impacto de la vulnerabilidad.

Por eso, según el investigador, después de “todo el trabajo duro y casi un año de espera”, terminó rechazando la recompensa porque cree que no recibió lo que merecía en el “juicio injusto de Apple”.

Muthiyah le pidió a Apple que reconsiderara la recompensa o le permitiera publicar el informe con toda la información sobre la vulnerabilidad; como no recibió respuesta, decidió publicar el artículo sin costo alguno.

Aparte de que la recompensa fue justa o no, creo que un pájaro en la mano es mejor que dos volando, como dirías …

Artículos relacionados