Proponha uma correção, faça uma sugestão
iCloud está vulnerável mesmo com a verificação em dois passos
A Apple, e os seus serviços associados ao iCloud, estiveram no final do ano passado expostos a vários problemas. Estes julgavam-se ultrapassados e controlados, mas a verdade é que os problemas ainda existem e mesmo os mecanismos aconselhados não são eficazes.
Como foi agora provado, os serviços do iCloud não estão a fazer uso de todas as novas medidas que a Apple criou e tornou padrão para acesso. Estas medidas medidas de segurança que foram implementadas pura e simplesmente não existe dentro destes serviços.
Depois de ter visto o seu serviço iCloud ser invadido e de lá terem sido retiradas centenas de fotografias de várias personalidades do mundo do cinema e da moda, a Apple resolveu aumentar a segurança e aconselhou os utilizadores a usarem alguns mecanismos simples, mas que garantiam que esta situação não voltaria a acontecer.
A forma vezes mais aconselhada e que maiores garantias de segurança oferecia era a utilização da autenticação em dois passos, que para além do username e da password do utilizador, obriga a que seja usado um segundo código para dar acesso ao iCloud.
Para melhorar ainda mais a segurança a Apple resolveu também dotar o seu serviço iCloud de simples alertas de email sempre que um utilizador faça o acesso ao mesmo.
Este passou a ser uma definição que estava activa por omissão e que faria disparar um alerta aos utilizadores sempre que estes vissem um acesso que não fosse o seu.
Mas a verdade é que estes mecanismos não se estão a mostrar suficientes e existem provas de que mesmo com todas as opções activas é ainda possível fazer login nas contas de iCloud sem que os utilizadores tenham consciência disso.
A prova veio num artigo publicado por Daniel Grant e que mostra que apenas um dos serviços do iCloud apresenta ao utilizador informação sobre acessos e que qualquer um deles ignora a necessidade de utilização do código de segurança que a autenticação de 2 factores devia obrigar a usar.
iTunes | FaceTime | App Store | Site da Apple
Nos vídeos que são apresentados podem ver-se as formas de acesso aos vários serviços da Apple e que qualquer um deles não apresenta qualquer pedido de autenticação adicional como seria esperado.
Dos vários serviços testados, iMessage, iTunes, FaceTime, App Store e site da Apple, apenas o serviço de chamadas de vídeo FaceTime alertou a utilizadora por email, indicando que tinha havido um acesso.
Os restantes foram simplesmente usados sem que qualquer notificação fosse apresentada ao utilizador, quer no próprio serviço ou por email.
Desta forma, basta a um atacante ter acesso às credenciais iCloud de um utilizador para que possa aceder à sua informação, desde mensagens privadas, chamadas, moradas e até dados do cartão de crédito ou número de telefone, sem que este tenha conhecimento disso.
A facilidade com que é possível aceder aos serviços iCloud de um utilizador, bastando ter acesso aos seus dados de autenticação e que até nem são difíceis de obter, mostra uma fragilidade grande nestes serviços.
A Apple tinha garantido que a implementação de novos mecanismos de segurança iriam tornar assunto do passado os problemas de segurança recentes, mas a verdade é que a prova mostra que eles ainda existem e que na verdade as medidas adicionais de segurança não existem em determinadas situações.
É claro que compete aos utilizadores protegerem-se da melhor forma possível, mas a verdade é que terá de ser a Apple a dar as formas necessárias para essa protecção.
Este artigo tem mais de um ano
Loading ...
“A facilidade com que é possível aceder aos serviços iCloud de um utilizador, bastando ter acesso aos seus dados de autenticação e que até nem são difíceis de obter, mostra uma fragilidade grande nestes serviços.”
Mas isto não é igual a outro qualquer serviço!?
Ou seja, se tem as credencias de acesso, consegue-se aceder a ele!
A questão é: essas credencias são fáceis de obter? Se sim, o problema esta aqui.
Julgo que é lógico, ser possível aceder a um serviço, se tem-se as credencias de acesso. Nesse sentido, não estou a ver a vulnerabilidade aqui… estou a ver é vulnerabilidade em conseguir-se essas credenciais.
Ao menos leste o artigo todo?
A ideia de ter autenticação em 2 passos é precisamente impedir o acesso de terceiros, mesmo que eles tenham os dados de autenticação.
E o que o senhor do vídeo mostra é que mesmo quando se ativa essa opção nos serviços da Apple, raramente eles pedem o segundo passo de autenticação.
Não pedem naquele caso, porque ele já fez essa autenticação no seu Mac.
Experimenta fazer log-in com a conta “guest”, ou com outra conta que não tenhas já associada ao iCloud… Levas logo com o 2FA.
Imteresses, é o que é…
Se te pedisse os 2 passos para tudo o que tens de fazer, provalmente davas em doido uma semana depois de começares a usar a verificação com os dois passos.
Eu nao uso e a minha conta é perfeitamente segura.
Não ha nenhuma segurança assim tao rígida, nem mesmo a nível corporativo.
A apple verifica a maquina que estas a usar e a maquina e reconhecida em muitas acções como “trusted”.
Uma coisa é falha de segurança, outra é não saber usar a segurança que está ao nosso dispor.
Pois também não fiquei muito esclarecido.
Nao posso concordar mais contigo JJ.
Este artigo é pura especulação como foi a historia das fotografias das celebridades.
Os sistemas so sao vulneraveis porque são utilizados por pessoas e grande parte dessas pessoas comprometem a sua própria informação..
Se é assim porque raio as empresas andam a implementar sistemas que visam aumentar a protecção? A autenticação de 2 passos deveria servir para isso mesmo, mas aparentemente não está sequer a ser usada.
tenta lá entrar no icloud!!!nenhum desses serviços entra np ilcoud, são serviços “autónomos”,nada que está neste artigo o permite sem o segundo passo!!! Nem permite alterar as credenciais da conta..(apple id, password, desactivar 2. passos), etc.. e agora faz login na amazon.com,meo.pt,vodafone.pt,ebay,etc. a ver se tem segundo passo! também estão vulneráveis???????
Não! só não têm esta segurança extra!!
chamar vulnerabilidade a isto é simplesmente burrice.
@Pedro Simões, gostava de saber que estudos você tem. Aparentemente não percebe o significado de vulnerabilidade.
Para mim, O serviço está vulneravel é quando de alguma maneira consigo aceder a um sitio sem credenciais ou obter as credenciais pelo sistema quando este não está intencionado a dar-te (exploiting, SQLi, XSS, etc.). Isto chama-se vulnerabilidade. em PHP esquercer-se de validar os INPUTS é um vulnerabilidade. Agora, obter as credenciais de maneira a advinhar (social engeneering) isto é os utilizadores que fazem-se alvos fáceis.
Ponham-se a fino quanto a maneira como escrevem os artigos.
Quem lê pensa noutra coisa. Depois andam a pensar de maneira errada. Este tipo de pensar de maneira errada e contar a mentira mais que uma vez e torna-se verdade é chamado de “propaganda”.
Continuação.
Sera que 2015 vai ser mais un ano em que poderemos ver mais pics?! :p
Com os dados de qualquer utilizador de qualquer serviço é possível aceder seja lá ao que for. Realmente…
Activa a autenticação de 2 passos em serviços que a usem de forma correcta e vais ver se entras… Nem para desactivar a autenticação de 2 passos tu entras
+1 Pedro.
Uso no dropbox e nunca me falhou. Mesmo quando inseri o código de autentificação, eles enviam me um email a dizer que associei a um dispositivo.
Não percebi nada, o vídeo não explica nada, pesquisei por “Daniel Grant” também não encontrei nada.
Importam-se de pôr a fonte para eu ter alguma coisa por onde começar?
O que vejo no vídeo é: enviar uma mensagem num Mac por iMessage. Mas qual é a novidade disso? A questão é eu não receber no iPhone uma mensagem a dizer que “foi enviada uma mensagem da minha conta de iMessage num Mac?”. Para que é que eu quero isso se a própria mensagem enviada me aparece no iMessage do iPhone?
Daniel grant nao sei mas esta noticia do pplware parece ser verdadeira:
http://techcrunch.com/2014/09/02/apples-two-factor-authentication-doesnt-protect-icloud-backups-or-photo-streams/
http://arstechnica.com/security/2013/05/icloud-users-take-note-apple-two-step-protection-wont-protect-your-data/
A tomar em conta é isto:
“In fact, the only three things two-factor secures in iCloud are the following:
Signing in to My Apple ID to manage their Apple account
Making iTunes, App Store, or iBookstore purchases from a new device
Receiving Apple ID-related support from Apple
It does not, however, make you enter a verification code if you restore a new device from an iCloud backup. And that’s the design ‘feature’ that hackers are taking advantage of here.”
Vê-se bem que os fanboys da Apple estão todos a tremer! eheheh
Ainda estou à espera que o SQRL (Secure Quick Reliable Login) entre em funcionamento em larga escala.
Aquilo é baseado em chaves públicas/ privadas de curva elíptica ed25519. E tudo está explicado de forma aberta pelo que qualquer programador a pode aplicar facilmente.
Pelo menos os servidores deixavam de ter o que perder… e se perderem é apenas a chave pública a qual até podia ser pública que não faria diferença.
Não resolve o problema do roubo da autenticação à pessoa (a menos que usem um dispositivo exclusivamente para isso…). A parte boa é que pode ser usado em teoria para tudo quando necessite de autenticação e que permita um sistema de chave pública/ privada, ou que possa ser adaptado para tal… e tudo vai desde autenticações em web sites, routers, aplicações, à abertura da porta de casa, do carro, do cofre … desde que os programadores/ fabricantes criem sistemas compatíveis e tenham cuidado com os parâmetros usados para gerar a informação aleatória, e outros pormenores (como ligações seguras https:// ou similares)… que aparentemente serão fáceis hoje em dia.
Pessoalmente preferia que tivesse sido utilizada antes uma curva mais avançada como a Curve41417 (http://safecurves.cr.yp.to) para que daqui a 50 anos (ou mais) ainda fosse perfeitamente segura… já que estas coisas tendem a ficar muito tempo sem serem alteradas quando vão parar a equipamentos físicos.
Nada impede a aplicação de sistemas de código que muda a cada 30 segundos e outras coisas… apenas substitui a parte da necessidade de introduzir o utilizador & senha… reduzindo pelo menos assim umas quantas vulnerabilidades (senhas fracas ou fáceis de descobrir e utilizar se tiverem acesso ao repositório nos servidores, senhas são sempre diferentes de web site para web site, aplicação para aplicação… desde que os nomes sejam diferentes claro.
Sr. Pedro Simões, este mais um exemplo de plágio – via tradução – de noticias tecnológicas?
Não somos parvos: http://money.cnn.com/2015/01/14/technology/security/apple-security-two-step/index.html
Também vai aplicar a lei da rolha nesta minha publicação?
JE SUIS CHARLIE!
Que grande treta… o video mais treta é. Para se aceder pelo MAC. Primeiro pede para que seja trocada a ketchain indo sms para o numero de telefone. Depois da KEY pede 1 codigo adicional de 4 digitos. Testaram antes de fazerem o texto…???