Quem aqui lembra da polêmica envolvendo o roubo de fotos de celebridades nuas que estavam armazenadas no iCloud? No final das contas ficou provado que, na verdade, foi mais “culpa” das celebridades em questão, que não tinham a verificação de duas etapas configurada e, através de “técnicas comuns” como phishing, engenharia social e outras, entregaram suas senhas para pessoas mal intencionadas.
Um software que ganhou bastante destaque na época foi o Elcomsoft Phone Breaker, que foi utilizado por esses crackers para exportar os dados de tais contas (incluindo as fotos e os vídeos) para uma pasta específica.
Nesta semana, o software ganhou uma atualização que consegue contornar a verificação de duas etapas do iCloud, além de expandir os tipos de arquivos que podem ser extraídos do serviço da Maçã, incluindo documentos do iWork, conversas do WhatsApp e conteúdos de jogos, apps de gerenciamento de senha, de redes sociais e muitas outras coisas. Para completar, ele também extrai tokens de autenticação de discos rígidos e imagens de disco dos usuários.
Mas antes de saírmos por aí gritando que é o fim da Apple, que o iCloud é terrível e tudo mais, vale entender como tudo isso funciona. Primeiramente, mesmo utilizando o Elcomsoft Phone Breaker, a pessoa *não* consegue extrair as informações da conta do iCloud se não tiver consigo o ID Apple, a senha e um dispositivo confiável/chave de recuperação. Pois é. Se alguém tem tudo isso, nem precisa do Elcomsoft Phone Breaker para conseguir acessar todas as informações da conta do iCloud, não é mesmo? Basta pegar um iGadget e se logar com a tal conta que todas essas informações estarão lá, disponíveis.
O que o Elcomsoft Phone Breaker faz, porém, é simplificar tudo isso, facilitando bastante o acesso a essas informações já que tudo é facilmente extraído da conta. E a coisa faz bastante sentido se levarmos em consideração que o Elcomsoft Phone Breaker deveria ser uma ferramenta exclusiva para agências governamentais e de segurança. O problema, porém, é que qualquer pessoa pode ter acesso a ele, bastando desembolsar minimamente US$80 — há inclusive uma versão de testes do software, a qual pode ser baixada por qualquer um.
Por essas e outras é sempre bom utilizar todos os recursos de segurança que as empresas nos oferecem. No caso do iCloud, eu recomendo bastante a ativação da verificação de duas etapas. Antes, porém, vale a pena ler este artigo para entender os riscos e evitar que você fique trancado fora da sua conta. 😉
[via Macworld]
Atualização · 18/12/2014 às 18:30
Definitivamente alguns leitores não entenderam o que eu quis dizer quando escrevi que a “culpa” dos vazamentos foi das próprias celebridades. Apenas para explicar melhor tudo:
- Eu não tenho absolutamente nada a ver com a vida dessas pessoas. Se elas querem tirar fotos nuas, é um direito delas.
- A “culpa” que eu me referi não foi em elas não terem ativado a verificação de duas etapas — ainda que, se você se preocupa com informações sigilosas suas (especialmente se você é uma pessoa conhecida publicamente), deveria prezar por segurança —, e sim por elas terem caído nas velhas técnicas como phishing, engenharia social e outras. Repito: se você tem informações sigilosas armazenadas numa conta, o mínimo que deve fazer é pensar duas vezes antes clicar em qualquer link e digitar o seu nome do usuário e senha. Na verdade a culpa é e sempre será do ladrão, mas se você sabe que está numa cidade violenta, o mínimo que pode fazer é não andar cheio de jóias penduradas no pescoço.
- Sim, a Apple teve culpa em não solicitar o código de verificação de duas etapas para restaurações de backup. Mas nesse momento os crackers já estavam com o nome do usuário e senha das celebridades nas mãos.
Espero ter esclarecido as coisas. 🙂