Apple se calló otra vulnerabilidad de iCloud que permitía acceder a otras Apple ID

Software

Las filtraciones y robos de datos pueden ocurrirle a cualquier empresa, sin importar lo grande que sea. Facebook se ha visto afectada por robos de tokens, mientras que Google+ ha tenido también fallos parecidos que han acelerado su cierre. Sin embargo, Apple se habría visto afectada por un fallo que habría permitido filtrar datos, pero no lo habría anunciado.

Un fallo de iCloud permitía acceder a datos de otras Apple ID

Todas las empresas que se han visto afectadas por fallos de seguridad lo han comunicado, aunque en algunos casos han tardado meses como es el caso de Facebook. Apple, que no ha estado involucrada en ningún caso grave de filtración de datos por culpa suya (aunque no están exentos de vulnerabilidades, como la de FaceTime que conocíamos ayer), habría mantenido en secreto un incidente producido el año pasado en el cual los usuarios podrían tener acceso a datos de las cuentas de iCloud de otros usuarios de Apple.

icloud apple id leak

Ha sido un investigador turco llamado Melih Sevim quien afirma haber descubierto el fallo que le permitía ver datos parciales (como notas que incluyesen datos bancarios o contraseñas) de cuentas aleatorias de iCloud, además de otras de conocidos, tan sólo conociendo su número de teléfono, y sin que esos usuarios lo supieran.

El investigador reportó el fallo a Apple, y la compañía le contestó un tiempo después diciendo que el fallo había sido detectado y solucionado antes de que recibieran los detalles por su parte. Sin embargo, él afirma que incluso dos días después de enviar el email, la vulnerabilidad estaba presente todavía, pero Apple se amparó en que ya estaba solucionada para no pagarle dinero a cambio de comunicar la vulnerabilidad. El investigador ha publicado un vídeo de cómo funcionaba la vulnerabilidad.

El fallo consistía en la forma en la que Apple enlaza el número de teléfono de los datos de facturación de cada Apple ID con la cuenta de iCloud si el número es el mismo. Después de seguir una serie de pasos en su iPhone y guardar un nuevo número de teléfono en los datos de facturación pertenecientes a otra Apple ID, podía ver datos de manera parcial pertenecientes a esa otra cuenta.

El fallo estaba presente en la parte de ajustes de iCloud de iOS que se descarga de los servidores de Apple en tiempo real cuando hay conexión a Internet, por lo que Apple pudo parchear el fallo en noviembre de manera remota sin levantar sospechas y sin lanzar una nueva actualización de iOS. Sin embargo, Apple no ha confirmado durante cuánto tiempo estuvo la vulnerabilidad abierta, así como tampoco han dicho cuál es el número estimado de usuarios afectados o si han encontrado evidencias de actividad maliciosa.

Curiosamente, Apple tarda bastante tiempo en hacer caso a los informes que le envían los usuarios. El fallo de FaceTime les fue comunicado una semana antes de que se hiciera público, por lo que lo dejaron estar durante una semana completa a pesar de que lo conocían.

Escrito por Alberto García

Fuente > The Hacker News