Investigador de seguridad informa vulnerabilidad en el sistema Apple iCloud 2FA

Un investigador de seguridad ha informado de una vulnerabilidad en el sistema de autenticación de 2 factores de Apple iCloud. La vulnerabilidad de iCloud permitió a los piratas informáticos apoderarse de una cuenta con solo conocer el número de teléfono de la víctima. Desde entonces, la vulnerabilidad se ha parcheado y ya no funciona.

Laxman Muthiyah de The Zero Hack pudo piratear una cuenta de iCloud mediante el uso de una técnica de “fuerza bruta basada en peligros de carrera”. Esta técnica es un poco diferente de la típica técnica de fuerza bruta. En esto, un pirata informático explota la vulnerabilidad de la condición de carrera del servidor y envía múltiples solicitudes simultáneas para restablecer la contraseña.

Las empresas, para evitar esta explotación de la condición de carrera, agregan un límite a la cantidad de solicitudes que se pueden enviar para restablecer una contraseña. Apple tiene un límite de un máximo de 5 intentos, tras los cuales bloquea la cuenta ‘durante unas horas’. Sin embargo, el pirata informático envió múltiples solicitudes desde diferentes IP para engañar al sistema y pirateó una cuenta de iCloud.

Muthiyah dice que si conoce el número de teléfono de una persona, puede forzar el código 2FA de 6 dígitos para restablecer la contraseña de una cuenta. Sin embargo, después de seis intentos fallidos, Apple bloquea la dirección IP para evitar que el hacker genere más solicitudes. Estas son algunas de las cosas que encontró Muthiyah después de probar el sistema de seguridad de Apple:

  • iforgot.apple.com se resuelve en 6 direcciones IP en todo el mundo: (17.141.5.112, 17.32.194.36, 17.151.240.33, 17.151.240.1, 17.32.194.5, 17.111.105.243).
  • Había dos límites de velocidad que hemos visto anteriormente, uno se activa cuando enviamos más de 5 solicitudes al punto final de contraseña olvidada (https://iforgot.apple.com/password/verify/smscode) y otro es a través del servidor de Apple cuando enviamos más de 6 solicitudes POST simultáneas.
  • Ambos límites de velocidad son específicos de la IP del servidor de Apple, lo que significa que aún podemos enviar solicitudes (sin embargo, dentro de los límites) a otra IP del servidor de Apple.
  • Podemos enviar hasta 6 solicitudes simultáneas a una IP de servidor de Apple (vinculando iforgot.apple.com a la IP) desde una sola dirección IP de cliente según sus límites. Hay 6 direcciones IP de Apple resueltas como se mencionó anteriormente. Entonces, podemos enviar hasta 36 solicitudes a través de las 6 direcciones IP de Apple (6 x 6 = 36) desde una sola dirección IP.
  • Por lo tanto, el atacante necesitaría 28.000 direcciones IP para enviar hasta 1 millón de solicitudes para verificar con éxito el código de 6 dígitos.

Muthiyah informó el problema a Apple en junio de 2020. En una respuesta, Apple le escribió a Muthiyah diciendo que el truco solo funciona con cuentas de Apple que nunca se han registrado en un iPhone, Mac o iPad, y que adquirir 28,000 direcciones IP no es fácil. para cualquiera, lo que limita la posibilidad de tal pirateo.

Apple finalmente lanzó una solución para el problema en abril de 2021. Después de muchos correos electrónicos entre Apple y Muthiyah, Apple le ofreció $ 18,000 en el programa de recompensas por errores. Sin embargo, Muthiyah rechazó la oferta citando que la oferta era “injusta” por la cantidad de impacto que podría haber creado.

Puede leer la historia completa de cómo Muthiyah pudo ingresar al sistema iCloud 2FA aquí.

Related Posts