Software permite vulnerar la verificación de dos pasos de iCloud

Posted on Actualizado enn

Muchos recordarán el penoso incidente el que decenas de fotografías de famosas fueron filtradas a Internet, conocido como celebgate (o the fappening). Una de las aplicaciones que se usaron para filtrarlas es Phone Breaker de Elcomsoft, que acaba de liberar una nueva actualización compatible con la verificación de dos pasos de iCloud.

Phone Breaker puede extraer fotos y otra clase de información privada, como registros de llamadas, archivos de iWork o eventos del calendario. También es capaz de descargar registros de aplicaciones de terceros, como los chats de WhatsApp que hayas respaldado en iCloud.

epb_files

Para tener acceso a iCloud existen dos opciones.

  • Si no cuentas con Apple ID y contraseña, pero tienes una computadora que usaste para sincronizar con iCloud, el programa puede extraer el token de autenticación del PC o Mac por medio de un escaneo exhaustivo. Esto puede hacerse desde el computador o conectando el disco duro que se usó para sincronizarse.
  • Si tienes el Apple ID y contraseña de la persona, puedes introducirlos en Phone Breaker y hacer la descarga. En caso que la verificación de dos pasos esté activa, es indispensable tener acceso a uno de los dispositivos de confianza o la clave de recuperación.

Elcomsoft asegura que si no tienes acceso a alguno de estos dos, no será posible entrar a la cuenta. Si son cuidadosos, al menos aquí podrían respirar tranquilos. Aunque hay que tener en cuenta que no muchos usuarios de Apple tienen activada la verificación de dos pasos.

epb_2fa

De momento, el software sólo tiene acceso a los archivos antes mencionados, sin embargo, se planea ofrecer una versión compatible con iCloud Drive a principios del próximo año. Sus creadores también dijeron que continuarán trabajando para ofrecer soporte a nuevos métodos de autenticación.

Debido a que esta noticia está generando tracción en varios medios, será interesante conocer la respuesta de Apple. Elcomsoft asegura que tiene fines legítimos ya que Phone Breaker puede usarse por las agencias de inteligencia o el ejército.

El problema es que no parece hacer una verificación exhaustiva de sus clientes, quienes por USD $799 tienen acceso a todas las funciones para extraer información de iCloud.

El peligro de otro fappening se mantiene latente.

Anuncios