Para Vladimir Katalov, CEO de Elcomsoft, la doble autenticación establecida por Apple para su servicio iCloud no es tan seguro para proteger la información personal del usuario almacenada en iCloud contra el acceso no autorizado. Parece que Apple ha decidido mantener su imagen como más de un “fácil de usar” en lugar de una empresa “segura”, señaló.
Los recientes ataques a las bases de datos corporativas que han expuesto las credenciales de millones de usuarios, y alguno que otro ataque a personas u organizaciones famosas, han motivado el uso la doble autenticación para acceder a los sistemas, principalmente de sitios web populares, redes sociales, comerciales o bancarios.
Según el especialista de la compañía rusa especializada en la recuperación de contraseñas, Apple hizo un trabajo a medias al implementar la doble autenticación, al dejar formas para que el intruso pueda acceder a la información personal del usuario evadiendo la autenticación de dos factores, la cual además para Apple es una función de seguridad opcional para los usuarios.
Cuestiona que la autenticación de dos factores de Apple no impide a nadie para recuperar un respaldo de iOS en un nuevo dispositivo no seguro, algo que no es correcto bajo un enfoque de seguridad. Agrega que la implementación de Apple no se aplica a los respaldos de iCloud, permitiendo que cualquier persona conozca el ID y la contraseña del usuario de Apple para descargar y acceder a la información almacenada en iCloud. Para comprobarlo, recomienda que el usuario acceda a la cuenta de iCloud, donde podrá ver toda la información de todo lo almacenado sin que sea requerida información adicional de inicio de sesión.
Katalov resalta que el código de verificación recibido desde Apple se visualiza directamente en la pantalla de bloqueo del dispositivo del usuario, lo que implica que cualquiera que tenga el dispositivo puede conocer el código de verificación sin tener que introducir la contraseña correcta. Esto debido a que Apple utiliza el servicio Find My iPhone, utilizado cuando se pierde el iPhone y el usuario envía una notificación a la persona que lo tenga para que lo devuelva. Para el especialista de seguridad de Elcomsoft, la implementación de la autenticación de dos factores es claramente una idea de último momento.
El experto en seguridad de Elcomsoft también se refiere a cómo los respaldos y los documentos en iCloud siguen siendo accesibles desde cualquier lugar, sin que sea requerido un segundo factor de autenticación. Para ello se apoya con Elcomsoft Phone Password Breaker, una herramienta para acceder a los datos del usuario del iPhone y que permite el acceso forense a los respaldos iCloud. Los respaldos y documentos podrían ser analizados fuera de línea utilizando otro software, como Oxygen Forensic Suite.
Para recuperar sólo desde el iCloud en un nuevo dispositivo, lo único que se necesita es la cuenta de usuario y la contraseña. Nada de autenticación de dos factores es activado durante el proceso, indica Katalov.
___
:: ASI – Elcomsoft, software que recupera contraseñas.