Come sono state rubate le foto delle attrici?

Nella serata di lunedì 1 settembre, Apple ha rilasciato una breve comunicazione annunciando di essere al lavoro per verificare le notizie circa la violazione di alcuni account del suo servizio iCloud; la violazione avrebbe permesso di ottenere un numero cospicuo di foto private in cui si vedono diverse attrici famose nude o mentre fanno sesso, compresa Jennifer Lawrence, premio Oscar nel 2013 con il film “Il lato positivo”. Nelle 24 ore dalla diffusione online delle immagini Apple non aveva ancora commentato pubblicamente. Le immagini sono iniziate a circolare domenica su siti come 4chan e Reddit e molto rapidamente sono finite sui social network, portando molte delle persone coinvolte a smentire l’autenticità delle fotografie o ad annunciare iniziative legali contro chi le ha rubate e successivamente diffuse online. Le autorità degli Stati Uniti sono al lavoro per identificare l’autore o gli autori dell’attacco informatico, ma per ora non ci sono molte informazioni su come sia stata effettuata la violazione degli account delle attrici.

Stando alle notizie diffuse fino a ora, e in attesa di ulteriori conferme, le fotografie sarebbero state ottenute grazie a una serie di attacchi informatici contro iCloud, il servizio di Apple che serve per salvare i propri file online in modo da averli sempre a disposizione sui dispositivi connessi a Internet. Salvo diversa impostazione da parte degli utenti, il sistema salva automaticamente una copia delle proprie foto scattate con iPhone e iPad in rete, per averne un backup e potervi accedere da Mac tramite il programma iPhoto. Chi ha condotto l’attacco ha quindi ottenuto in qualche modo l’accesso agli account di diverse attrici, ottenendo la possibilità di sottrarre le fotografie private e di metterle anonimamente online su alcuni siti di condivisione di immagini.

Un portavoce di Apple per ora si è limitato a dire che la società sta indagando sull’accaduto, senza specificare se vi siano responsabilità dirette legate magari a qualche falla all’interno dei sistemi di iCloud. In attesa di qualche spiegazione ufficiale, alcuni esperti di sicurezza hanno ricordato che negli ultimi tempi erano stati scoperti alcuni malfunzionamenti all’interno del servizio cloud di Apple.

Come spiegano su TheNextWeb, nei giorni scorsi si era diffusa la notizia di una falla in iCloud che permetteva di provare con sistemi automatici un’enorme quantità di password per effettuare il login al servizio. Di solito gli hacker utilizzano questa soluzione quando sono in possesso del nome utente dell’account, ma non della parola chiave per ottenere l’accesso: impostano un programma che automaticamente prova di continuo a fare il login inviando ogni volta una password diversa, generata a caso o seguendo un elenco delle password più usate, nella speranza di trovare quella giusta. I sistemi di sicurezza dei siti permettono di identificare questi tipi di attacchi e di solito limitano il numero di tentativi che si possono effettuare per fare il login.

A quanto pare una vulnerabilità all’interno di “Trova il mio iPhone” (“Find My iPhone”), una delle app collegate ad iCloud, permetteva di eseguire un’infinità di tentativi senza essere mai bloccati. La falla sarebbe stata corretta in ritardo da Apple, quindi è possibile che diversi utenti malintenzionati abbiano avuto la possibilità di sfruttarla per accedere ad account iCloud di altre persone. La notizia della vulnerabilità è però diventata di pubblico dominio circa 36 ore prima che comparissero le prime fotografie rubate online, un periodo di tempo troppo breve per ottenere simili risultati con un attacco per trovare le password.

Su Mashable spiegano che a fine agosto era stato annunciato un altro possibile malfunzionamento di iCloud, legato ai codici di sicurezza che il sistema utilizza per la funzione “Portachiavi” (“Keychain”), che serve per conservare e mantenere organizzate le proprie password. Il codice viene richiesto a chi usa iCloud come ulteriore verifica sulla loro identità ed è preimpostato per essere di sole 4 cifre numeriche. Alcuni hacker hanno scoperto che il codice poteva essere scoperto offline, senza insospettire i server di Apple, e che poteva poi essere usato per ottenere informazioni sull’account collegato. Anche in questo caso sembra che la falla sia stata corretta da Apple.

Le fotografie private circolate fino a ora riguardano decine di persone famose e viene quindi da chiedersi come abbiano fatto gli autori degli attacchi a violare così tanti account, considerato che per farlo è almeno necessario conoscere il nome utente usato su iCloud (di solito un indirizzo email) al quale associare poi una password. Un’ipotesi è che tutto sia partito da un singolo profilo iCloud di un personaggio famoso di cui era noto il nome utente: una volta scoperta la password, è stato possibile entrare nell’account, accedere alla rubrica dei contatti salvata automaticamente online dal sistema e ottenere indirizzi email e riferimenti di altri personaggi famosi.

Altri esperti di sicurezza hanno fatto notare che con l’utilizzo di password più sicure (con lettere, numeri, simboli e qualche maiuscola dentro) e con il sistema di verifica in due passaggi, disponibile da qualche tempo su iCloud (anche se ancora non per tutti), si sarebbe potuto impedire l’accesso non autorizzato agli account. La verifica in due passaggi prevede che per entrare nel proprio profilo si debba inserire, dopo la password, un codice che viene inviato via SMS al proprio numero di cellulare da Apple. Solo chi ha quel codice può accedere ai dati dell’account. Si tratta di un’opzione sempre più comune, adottata già da diverso tempo da Google, Facebook e più di recente da Twitter.

Al momento, è bene ricordarlo, sulle modalità che hanno portato alla violazione degli account ci sono solo ipotesi e non è quindi possibile dire con certezza se ci siano di mezzo dirette responsabilità di Apple. È possibile che le fotografie siano state ottenute in un lungo arco di tempo, forse da utenti malintenzionati diversi, che si sono poi scambiati i file, e da una serie più ampia di servizi per salvare online i propri file.

Foto: Jennifer Lawrence scherza con alcuni fan che la fotografano con i loro smartphone nel maggio del 2014, alla presentazione del film “X-Men: Giorni di un futuro passato” a New York – AP Photo/Starpix, Dave Allocca