Battezzata iBrute, si tratta di un’applicazione scritta in Python che, nelle scorse ore, ha rappresentato una vera e propria croce per Apple e per i suoi utenti. Sul web, infatti, sono recentemente iniziate a circolare foto personali (anche di nudo) di un gran numero di artisti, musicisti, cantanti, attori, personaggi dello spettacolo, personalità famose. Non si è trattato di immagini fasulle ma di foto sottratte dagli account Apple iCloud dei rispettivi proprietari. Molte celebrities – complessivamente bersaglio dell’attacco sono state circa 100 personaggi famosi – hanno voluto confermare, attraverso i social, l’aggressione subita.
Attraverso l’impiego di uno script Python, pubblicato su GitHub, l’aggressore – che su alcuni forum online si firma col nickname “Tristan” – avrebbe sfruttato una “lacuna” presente nel servizio “Trova il mio telefono” di Apple. Interrogando iterativamente lo strumento di Apple che consente di risalire alla posizione del proprio device (nel caso in cui, ad esempio, lo si perdesse o venisse rubato), l’aggressore sarebbe riusciuto ad individuare la password usata a protezione dell’account Apple da parte delle varie “star”.
Usando lo script iBrute, quindi, Tristan sarebbe riuscito a provare migliaia di password senza alcun tipo di restrizione e senza che la sua attività venisse in alcun modo segnalata ai proprietari degli account Apple.
Mentre l’FBI ha iniziato ad investigare sulla vicenda ed Apple, nel frattempo, ha provveduto a risolvere la lacuna evitando che, in futuro, possano essere posti in esse ulteriori attacchi brute force, soprattutto sul deep web (Anonimato in Rete con TOR: per visitare qualunque sito tutelando la propria privacy) continuano a circolare quelle imbarazzanti immagini che avrebbero dovuto restare cosa personale.
È bene infine ricordare, a tutti gli utenti di Apple iCloud, che il servizio permette già da qualche tempo di attivare l’autenticazione a due fattori: abilitandola si potrà proteggere il proprio account in maniera più efficace, evitando di affidarsi all’utilizzo della sola password.
Aggiornamento: informazioni più aggiornate sono pubblicate nell’articolo Foto dei VIP: sottratti da iCloud i backup degli iPhone.