15 Agosto 2016
Recente, usuários da Apple sofreram ataques ao conteúdo guardado no iCloud, serviço de armazenamento em nuvem da Maçã. Para tentar evitar que isso se repetisse, a criadora dos iPhones solicitou aos seus clientes que ativassem a verificação em duas etapas. Agora, porém, um software mostrou que nem mesmo essa medida é tão segura assim.
O programa em questão se chama Password Breaker, e é desenvolvido pela companhia russa Elcomsoft. Com sua última atualização, a aplicação permite que seja burlada a verificação em duas etapas do iCloud. Com essa nova versão, o Breaker ganhou compatibilidade com o iOS 8.1, permitindo o roubo de todas as informações presente no serviço armazenamento em nuvem da Apple.
Como falamos, a Apple criou em julho o esquema de verificação em duas etapas para o iCloud. A medida se popularizou com a recente invasão e captura de dados de diversas celebridades de Hollywood. A grande maioria dos itens roubados da nuvem eram fotos de cunho íntimo tiradas com o iPhone.
Um hacker conseguiu entrar nas contas que não tinham a verificação em duas etapas. Logo em seguida, roubou o backup das fotos íntimas e publicou-as na internet. O caso trouxe bastante polêmica ao mundo da Maçã. Tanto que a Apple passou a aconselhar a todos que realizassem o processo de dupla verificação de identidade.
Com essa ferramenta habilitada, toda vez que o usuário fizer login de sua ID Apple em um dispositivo novo, será enviada uma mensagem. O iCloud só vai se tornar acessível quando o indivíduo digitar a sequência enviada. Isso impede que terceiros consigam acessar essa conta. Tudo, porém, parece ter mudado com a última atualização do Password Breaker.
A aplicação, na verdade, usa um truque muito simples para invadir a conta do usuário. O Breaker cria um token digital que concede acesso permanente sem necessitar passar pela segunda etapa de autenticação. Dessa forma, o invasor consegue acessar todo o conteúdo armazenado na conta do usuário, selecionando tranquilamente aqueles que deseja baixar.
Claro, primeiro o invasor precisa ter seu usuário e senha para conseguir penetrar em sua conta. Acontece que a verificação em duas etapas serve justamente para evitar isso. Com essa ferramenta do iCloud, mesmo que o hacker tenha seu nome de usuário e password, ele não iria conseguir invadir por causa da dupla verificação de identidade da Apple. O software russo, entretanto, tornou praticamente inútil essa última medida de segurança.
E o alcance do software não para por aí. Em conjunto com outro programa da companhia, o iPhone Breaker, é possível até mesmo acessar aplicações de terceiros instaladas no smartphone da Maçã. É possível, inclusive, roubar os dados que estão armazenados no WhatsApp.
Segundo a Elcomsoft, o software é de uso apenas militar, para que governos consigam espionar os aparelhos de certos alvos. Nada impede, porém, que vaze para o mercado negro, tornando inúteis os esforços da Apple em tornar seu iCloud seguro.
Comentários