Trova il mio iPhone: il bug che permette di rubare le foto hot delle star. E anche le tue

Una falla di sicurezza dell’app “Trova il mio iPhone” ha permesso il leak di foto private di vip che ha provocato il fappening del secolo. Secondo le prime indiscrezioni che escono da Apple, un bug ha permesso la nascita del caso, attraverso il sistema di archiviazione di file che si chiama iCloud. Tutti gli iPhone effettuano in automatico una copia su iCloud delle ultime mille foto scattate, in una cartella che è chiamata “Il mio streaming foto”. Secondo quanto si ipotizza, il caso ha coinvolto (a quanto pare) iCloud ma le tecniche utilizzate sono, a grandi linee,valide anche per sistemi simili: Dropbox, Google Drive, OneDrive Microsoft e altri.Tutti molto usati e tutti con sistemi automatici che duplicano nel cloud le immagini scattate dagli smartphone.
scattate. Scrive oggi il Corriere:

L’ipotesi più probabile è che si trattasse di foto sui profili iCloud delle vittime. iCloud è la«nuvola» di Apple: di fatto un hard disk virtuale, che sta in rete. Tutti gli iPhone effettuano in automatico una copia sui Cloud delle ultime 1.000 foto scattate. Un buon consiglio intanto è quello di disabilitare questa funzione (attraverso le opzioni) se scattiamo foto«molto private».La nuvola di Apple però è protetta da un potente algoritmo: come tutti i sistemi cloud è difficile da «bucare».Gli hacker hanno aggirato ilproblema sfruttando il puntodebole del sistema: le password degli utenti. Oltre a un «baco»del sistema «Trova il mio iPhone»: ora Apple dichiara di averlo sistemato.Secondo altre ipotesi, non sonostate «craccate» le password:gli hacker sarebbero entrati nei profili azzeccando le risposte alle domande segrete («Chi era il tuo miglior amico da adolescente?», «Qual è il tuo libro preferito?», etc).

 
TROVA IL MIO IPHONE: IL BUG E LE FOTO DELLE STAR
Secondo quanto è ipotizzato, l’attacco sarebbe avvenuto in base a un apposito software che genera migliaia di password l’ora, e prova ad accedere con ciascuna all’account della vittima, fino a trovare quella giusta. Di solito è un processo lungo, che varia in base alla lunghezza e complessità della password. Si va da pochi minuti per password brevi, per arrivare a giorni, settimane o mesi per quelle più complesse. Paolo Mastrolilli sulla Stampa rincara la dose:

Non si è trattato dell’incontro casuale con una foto proibita,o il tentativo di un maniaco di violare qualche personaggio di cui si era invaghito in modo ossessivo, come era accaduto con le immagini rubate qualche tempo fa a Scarlett Johansson. Questa è stata un’operazione professionale condotta da un abile hacker,che è riuscito a penetrare le difesedi iCloud, portare via ciòche trovava e pubblicarlo, chiedendo bitcoin (monete elettroniche)e pagamenti per altri video sexy che avrebbe sottratto.Un occhio nero per i gestoridella sicurezza dei depositi digitali,per i siti e per i socialmedia,complici involontari dellarapina e della gogna digitale.

Nelle foto: i messaggi dell’hacker e la lista dei vip presuntamente coinvolti nel leak:

In base a quanto si apprenderebbe il tutto è stato messo in pratica grazie ad uno script in Python che è rimasto disponibile online per due giorni su Github prima di essere condiviso dal portale HackerNews: questo strumento in sostanza tenta il login di un account all’infinito provando le parole e password più comuni, fino a scovare quella giusta. Secondo le indiscrezioni il malintenzionato, a conoscenza della mail personale di una delle celebrità, è riuscito ad effettuare l’accesso e, oltre ad aver salvato le eventuali foto presenti su iCloud, ha scovato le mail dei colleghi VIP probabilmente presenti nella rubrica, ampliando così le possibilità di furto dei vari Apple ID.

Le soluzioni? A quanto pare, scrive il Messaggero, ce n’è una sola:

Quando si vogliono salvare foto o documenti particolarmente riservati, il consiglio è quello di non memorizzarli sul cloud,perché in questo modo vengono messi in rete e quindi c’è il rischio che possano essere rubati.

Non è molto consolante, in effetti.
*Nella stesura originale dell’articolo il quote è stato erroneamente attribuito a MacCityNet invece che al Messaggero. Ci scusiamo con gli interessati.