Apple ha solucionado un problema que permitiría a un atacante realizar un ataque de fuerza bruta contra iCloud en busca de apropiarse de la contraseña de usuario. La herramienta, de nombre iDict, apareció en Github a primeros de enero y utilizaba un ataque tradicional usando un diccionario para intentar averiguar la contraseña de una ID de usuario de Apple lo que permitiría al atacante poder hacerse cargo de su cuenta iCloud y todos sus datos.
Generalmente los servicios online protegen las cuentas de usuario ante ataques de este tipo limitando el número de veces que puede intentarse introducir la contraseña a lo largo del tiempo. Un usuario, de nick Pr0x13, aparentemente había encontrado una forma de sortear esta limitación en iCloud.
Apple por su parte ha sido bastante rápida en encontrar una solución al problema causado por esta herramienta y empezó limitando la cantidad de veces que un usuario podía intentar introducir una contraseña en iCloud, para acabar parcheando totalmente el sistema y eliminar la posibilidad de usar iDict. El propio autor de la herramienta ha confirmado vía Twitter el trabajo de Apple reecomendando que no vuelva a utilizarse más.
Ojalá que solucionen el tema de que cualquiera pueda bloquear tu cuenta de Apple.
Pues no la han debido solucionar del todo, porque a mi me están friendo! Ya van dos noches seguidas en las que me encuentro mi cuenta bloqueada!! Y lo que no entiendo es porqué demonios tengo yo pagar los platos rotos!! Si alguien intenta acceder desde otra ip, bloquea a ese tipo, no a mi, ni a mis equipos ya autorizados y funcionando! No me hagas pasar por el rollazo de tener que desbloquearla, y volver a iniciar sesión desde todos y cada uno de ellos.
Si no, ¿para qué demonios me ha servido la autentificación en dos pasos, si no es precisamente para esto? Alguien que intente acceder con mi contraseña, si falla, se descarta y se le bloquea, y punto. Pero a él, no a mí.
almarma, eso decía en mi comentario, que a ver si también solucionan este problema. Es absolutamente inaceptable. Con la seguridad en dos pasos basta y sobra. Al menos podrían discriminar respecto a los cuentas que no la tienen habilitada y no bloquearlas.
Y habrá muchos usuarios que por simple desconocimiento perderán su id de Apple simplemente porque alguien ha tratado de acceder a su cuenta.
#3 pero ese problema existe en las cuentas con la verificación en dos pasos? sí que no tiene sentido eso!
¿Verdad que sí, Rafa?
#4 es lo que quería decir en el foro, Rafa. Igual no me expliqué bien. Si ya tengo la verificación en dos pasos activa, y unos equipos autorizados, y alguien de fuera intenta acceder probando contraseñas al azar, bloquea su intento, bloquea su ip, o como mucho, mándame un email a mi para preguntarme si soy yo, pero no me bloquees la cuenta en estos equipos ya autorizados! No tiene sentido!
#3, es verdad, no me había dado cuenta!