Últimamente Apple esta siendo muy mencionada en todos los medios y no por un merito; sino por problemas de seguridad, fallas de dispositivos etc.

Hoy nos enteramos que los de Cupertino habrían tapado una falla de seguridad en el servicio cabecera de la compañía; como lo es Apple ID.

Mas allá del problema que les comentamos ayer sobre FaceTime, al parecer habría mantenido en secreto un incidente producido el año pasado en el cual los usuarios podrían tener acceso a datos de las cuentas de iCloud de otros usuarios de Apple.

La vulnerabilidad fue publicada por Melih Sevim, un investigador Turco, quien afirma haber descubierto el fallo que le permitía ver datos parciales (inclusive notas que incluyesen datos bancarios o contraseñas) de cuentas aleatorias de iCloud. Tan sólo conociendo su número de teléfono, y sin que esos usuarios lo supieran.

El investigador como es debido reportó el fallo a Apple, y la compañía le contestó un tiempo después diciendo que el fallo había sido detectado y solucionado antes de que recibieran los detalles por su parte.

Sin embargo la vulnerabilidad estaba presente incluso luego del correo electrónico recibido de parte de Apple. Obviamente desde Cupertino no quieren abonar al investigador el pago por el reporte realizado.

Como se imaginaran el investigador publico un vídeo de cómo funcionaba la vulnerabilidad:

El fallo se enlazaba al número de teléfono de los datos de facturación de cada Apple ID con la cuenta de iCloud si el número era el mismo. El fallo estaba presente en los servidores de Apple y se producía en tiempo real cuando había conexión a Internet, por lo que Apple pudo parchear el fallo en noviembre de manera remota sin generar mucho ruido.

Apple no ha informado el tiempo en que esta vulnerabilidad estuvo disponible y tampoco la fecha en que se soluciono. Mucho menos la cantidad de usuarios afectados.

Fuente y mas detalles: TheHackersNews

Anuncios