Rubano i backup di iCloud con software forense, ecco come proteggersi

In seguito alla scandalo delle foto e dei video privati delle celebrità comparsi sul Web, FBI e Apple si sono subito attivati per risalire all’origine del problema. Da principio si pensava che le cause risiedessero in una presunta falla di iCloud che avrebbe dato accesso a dati confidenziali, ma come abbiamo argomentato solo un paio di giorni fa, la cosa ci sembrava poco plausibile e infatti qualche ora fa Cupertino ha smentito ufficialmente ogni coinvolgimento. I veri problemi sono altrove, e riguardano tutti, non solo le celebrità. È il quadro generale a fare acqua da tutte le parti, ed è bene che corriate ai ripari prima che sia troppo tardi: ecco i nostri consigli per proteggere la vostra privacy.

Apple nega: la colpa dei furti delle foto delle celebrità non ha a che vedere né con iCloud né con Trova il mio iPhone/iPad.

Niente brecce né falle nel sistema, assicurano da Cupertino. Il problema è stato causato, come al solito, da username banali, password deboli e domande di sicurezza prefabbricate. Come dire, l’anello debole della catena non è la tecnologia in sé ma l’umana pigrizia che ci porta a usare date di nascita o di matrimonio come passcode, e il nome dei figli per tutto il resto. Un modo per non dimenticare, certamente, ma anche un bel regalo ad hacker e malintenzionati; e una cosa estremamente stupida da fare, quando sei una celebrità e migliaia di siti parlano di te, del tuo matrimonio e dei tuoi figli.

Ciò tuttavia non implica che anche noi comuni mortali, mai finiti su una copertina di Vogue, siamo del tutto esenti da minaccia. Un giornalista di Wired, Andy Greenberg, ha indagato un po’ sulla faccenda e ha scoperto alcune cosette piuttosto preoccupanti. Su un forum anonimo di condivisone delle immagini chiamato Anon-IB, ha scovato intere discussioni sulle tecniche di sfruttamento dei software forensi per scopi malevoli.

In teoria, una volte conosciute le credenziali di qualcuno, non si dovrebbe poter fare altro che accedere ai servizi di iCloud.com. E invece, esiste un’app chiamata ElcomSoft Phone Password Breaker che permette di scaricare interi backup di iPhone e iPad da iCloud:

Utilizza lo script per ottenere la sua password, poi usa EPPB per scaricare il backup” ha scritto un utente anonimo su Anon-IB, spiegando la procedura ad un hacker novello. “Poi posta qui i tuoi successi ;-)”

EPPB è un software di cui avevamo già parlato nel 2012; costa la bellezza di 399$ ed è usato normalmente dalle forze dell’ordine autorizzate alle indagini, ma si trova tranquillamente sui siti di condivisione Bit Torrent. Tra l’altro, è pure facilissimo da usare: basta immettere le credenziali, e il sistema scarica tutti i contenuti comodamente suddivisi in cartelle.

La buona notizia è che Apple ha recentemente irrobustito la sicurezza di iCloud, introducendo un sistema di verifica a doppio passaggio che vi invitiamo calorosamente ad attivare il più presto possibile (vi spieghiamo come qui sotto). La brutta notizia, invece, consiste nel fatto che questo non impedirà di per sé un eventuale furto di informazioni personali, poiché la verifica in due passaggi non copre né i backup di iCloud né Photo Stream.

Una bella doccia fredda, a pochi giorni dal debutto del nuovo sistema di pagamento mobile di iPhone 6, e sembra già di sentire le critiche dei media: se Apple non è in grado di proteggere gli scatti pruriginosi dei suoi utenti, figuriamoci che accadrebbe quando di mezzo c’è la carta di credito. Insomma, un bel pastrocchio che gli utenti possono contribuire a lenire inventando password più robuste, disattivando iCloud e ritornando ai sani, vecchi backup in locale. Un po’ drastico, forse, ma sicuramente efficace.

Scopri su Downloadblog come attivare la Verifica in Due Passaggi. Guida passo passo con immagini.