Según The Hacker News, en 2018 podría haber una fuga de datos, durante la cual se divulgó la información de los usuarios del servicio iCloud. Sin embargo, Apple no ha anunciado oficialmente tales problemas.
Cual es el problema
Un investigador turco de seguridad de la información, Melih Sevim, contactó a los periodistas. Dijo que pudo detectar una vulnerabilidad en iCloud, lo que le permitió ver algunos datos de las cuentas de otras personas en el servicio, por ejemplo, notas en cuentas. El investigador pudo acceder a los datos de cuentas aleatorias y divulgar intencionalmente información de usuarios específicos; para esto necesitaba saber el número de teléfono asociado con el servicio.
Según Melikh, descubrió un error en octubre de 2018 y ya en noviembre, como parte de una política de divulgación responsable, lo informó a Apple, adjuntó instrucciones para reproducir el error y la demostración en video del uso de la vulnerabilidad.
Los representantes de Apple también en noviembre de 2018 le dijeron al investigador que el error se solucionó, pero dijeron que la compañía lo había descubierto antes de su mensaje. Después de eso, el boleto se cerró de inmediato.
Según el investigador, la posible vulnerabilidad surgió debido a la conexión del número de teléfono almacenado en la información de pago de su cuenta de ID de Apple con su cuenta de iCloud. Tal conexión surgió al usar el servicio en el dispositivo con el número correspondiente.
Ciertas manipulaciones del investigador le permitieron guardar el número asociado con otra cuenta en iCloud y luego obtener acceso parcial a los datos de esta cuenta.
"Suponga que el número de teléfono móvil de la cuenta abc@icloud.com es 12345. Si ingreso el número de teléfono móvil 12345 en mi ID de Apple, que está registrado en xyz@icloud.com, puedo ver cierta información de la cuenta abc en xyz".
Según el investigador, durante los experimentos pudo acceder a las notas de los usuarios de iCloud, que contenían mucha información importante, incluida la información de las cuentas bancarias.
Dado que la vulnerabilidad estaba contenida en el área de configuración de iCloud para dispositivos iOS, Apple pudo solucionarlo en segundo plano a través de Internet. No hubo necesidad de lanzar una actualización de iOS por separado para esto.
Reacción de manzana
Melikh proporcionó correspondencia a los reporteros, durante los cuales los empleados del Equipo de Seguridad de Apple confirman el problema e informan que ya se ha solucionado.
En una respuesta a una carta de The Hacker News, Apple también confirmó la vulnerabilidad y dijo que se "solucionó en noviembre de 2018", ignorando las preguntas sobre cuánto tiempo estuvo presente la vulnerabilidad en el sistema, el número aproximado de usuarios cuyos datos fueron revelados, y ¿Hay evidencia de su explotación por parte de hackers?
También esta semana se supo acerca de un error en FaceTime, que permite a la persona que llama acceder al micrófono y la cámara de otras personas, incluso si no respondieron la llamada. Los desarrolladores se vieron obligados a deshabilitar Group FaceTime para proteger a los usuarios.
Más tarde se supo que la madre del adolescente que descubrió la vulnerabilidad
intentó notificar a Apple una semana antes de que se supiera al respecto. Nadie respondió a sus mensajes en las redes sociales y al informe de errores.
Los investigadores de Positive Technologies también encontraron vulnerabilidades en los productos de Apple. Entonces, en el verano de 2018, la compañía
lanzó una actualización para macOS High Sierra 10.13.4, que elimina la vulnerabilidad en el firmware de las computadoras personales (CVE-2018-4251), descubierta por Maxim Goryachy y Mark Ermolov. La vulnerabilidad permitió explotar un error peligroso en el subsistema Intel Management Engine.