iOS

Alerta: A sua password do iCloud está nesta lista?

26 Comentários

Foi em 2014 que o popular serviço iCloud da Apple sofreu um conjunto de ataques, tendo sido roubadas várias imagens de actrizes. A Apple rapidamente aumentou a segurança do seu serviço e descartou também responsabilidades pelo sucedido.

Recentemente alguém (com o nick @Pr0x13) fez upload no GitHub de uma ferramenta chamada iDict que é capaz de desbloquear a segurança de algumas contas do iCloud. Se usa o iCloud e a sua password está na lista que apresentamos a seguir, é urgente que proceda à alteração da mesma.

icloud_01


Chama-se iDict e é uma ferramenta de hacking direccionada para o serviço iCloud. De acordo com os autores da ferramenta, esta usa técnicas “bastante antigas”,  como é o caso da “força bruta”. Na prática este técnica usa uma lista de palavras que são depois experimentadas para acesso ao serviço.

icloud_02

No caso concreto desta ferramenta, o “dicionário” de palavras é limitado a 500. Aqui estão alguns exemplos:

  • Password1
  • P@ssw0rd
  • Passw0rd
  • Pa55word
  • Password123
  • ABCabc123
  • Devil666
  • Fuckyou2
  • ILoveYou2
  • Blink182

Pode consultar aqui todas as 500 as palavras-passe que são testadas. As passwords são na sua maioria muito óbvias, mas certamente haverá muitos utilizadores a usarem as mesmas.

A Apple voltará certamente a rever a segurança do iCloud até porque, segundo a informação deixada no GitHub, esta ferramenta explora uma falha óbvia. Seria apenas uma questão de tempo para que tal vulnerabilidade fosse explorada… a sério.

Via GitHub

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
Github icloud password

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
As tendências tecnológicas para a CES 2015
Artigo anterior

As tendências tecnológicas para a CES 2015
Consultório Pplware – Esclareça aqui as suas dúvidas
Próximo artigo

Consultório Pplware – Esclareça aqui as suas dúvidas
PUB

Comentários

26

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Benchmark do iPhone 6
    Benchmark do iPhone 6

    Já alguém, conhecido, experimentou e disse que funciona?
    Pesquisei por “idict icloud confirmation” e está tudo no “diz que disse”. Os que, como no post, diziam que “é capaz” diziam que havia tweets e reddits a dizer que sim.

    P.S. Podem experimentar, mas tenham em atenção que a conta de iCloud bloqueia ao fim de cinco tentativas falhadas de introdução de password.

    Responder
    1. Avatar de Mota
      Mota

      “iCloud bloqueia ao fim de cinco tentativas falhadas de introdução de password.” Agora neh..?

      Isto pode ser ultrapassado usando 2 steps.

      Responder
      1. Avatar de Benchmark do iPhone 6
        Benchmark do iPhone 6

        Explica lá como.

        Responder
      2. Avatar de Zero Zero Sete
        Zero Zero Sete

        Ein?

        Ora diz lá ao pessoal como é que é isso…

        Responder
      3. Avatar de vjsoares
        vjsoares

        loooooool

        “Isto pode ser ultrapassado usando 2 steps”

        também gostava de saber.

        looooool

        Responder
    2. Avatar de jose
      jose

      Deve ser para venderem algum programa anti-virus ou atualização. há sempre interesses por trás disto.

      Responder
  2. Avatar de David Guerreiro
    David Guerreiro

    Bloqueia agora, quando gamaram as fotos das atrizes dava para tentar as vezes que se quisesse.

    Responder
    1. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      A Apple desmentiu, disse que as contas bloqueavam ao fim de um número limitado de tentativas, embora não tenha dito quantas.

      Se estás lembrado o tal iBrute (anunciado em Moscovo e que os editores do pplware ainda insistiam que tinha sido usado na obtenção das fotos das celebridades – apesar dos desmentidos de que não tinha havido qualquer ataque de “força bruta”) dizia que explorava uma vulnerabilidade do sistema que permitiria fazer um número ilimitado de tentativas. Para quê “explorar uma vulnerabilidade” se bastava correr um dicionário de ataque de força bruta, visto que as contas não bloqueavam?

      Por isso nunca houve essa situação do número ilimitado de tentativas que permitissem um ataque de força bruta. O que era ilimitado era o número de tentativas de resposta às perguntas de segurança que permitiam fazer o reset da password da conta.

      Responder
      1. Avatar de Alexandre
        Alexandre

        E porque a Apple diz (ou outra grande empresa) deve ser verdade não é?

        Responder
        1. Avatar de Benchmark do iPhone 6
          Benchmark do iPhone 6

          Estás-te a referir ao suposto ataque “força bruta”? As grandes empresas têm a credibilidade que não querem perder, sem mais estas nem aquelas. Se a coisa dá para o torto podem não dizer a verdade toda – mas se mentirem é muito perigoso. No caso das fotos das celebridades tinha a particularidade de o FBI estar a investigar.

          Quando a Apple diz qualquer coisa tem que se ler cuidadosamente o que lá está escrito (o que não estiver lá, não é por acaso). Se disse que não houve ataque de força bruta e tivesse havido acabaria por se saber, inevitavelmente. Não é o mesmo que alguém escrever renhó-nhós que, mais renhó-nhó menos renhó-nhó, amanhã já ninguém se lembra,

          Se te referias a não ser permitido um número ilimitado de tentativas de introdução de passwords de acesso às contas, é uma questão de bê-á-bá.

          Responder
        2. Avatar de Não Não
          Não Não

          E tudo p que os media dizem, é porque é verdade, não é?

          A Apple é só a empresa mais escrutinizada do mundo, tudo o que disserem, se disserem alguma mentira, no mesmo dia, já estão a ser processados por um grupinho de advogados a ver se lhes calha a sorte grande.

          Responder
    2. Avatar de Winetree
      Winetree

      Sim, em particular da Kim Kardashian que tinham sido tiradas com um Blackberry….

      Responder
  3. Avatar de Tiago
    Tiago

    Metade das passwords que estão aí é sinónimo de imprudência

    Responder
    1. Avatar de Luis Silva
      Luis Silva

      Sim é verdade, muita gente nao gosta de fazer passwords no minimo acietaveis pra ser mais dificil saber-se

      Responder
      1. Avatar de David Guerreiro
        David Guerreiro

        O problema é que passwords difíceis, são fáceis de esquecer.

        Responder
        1. Avatar de Zero Zero Sete
          Zero Zero Sete

          Não são nada… basta por símbolos ou palavras mal escritas…

          Responder
  4. Avatar de LP
    LP

    Mas afinal é permitido o brute force ou não?

    Responder
  5. Avatar de Joao
    Joao

    Fiz a experiência e posso dizer que ao fim de umas 5 tentativas a conta fica bloqueada.

    Responder
    1. Avatar de Joao
      Joao

      Se tentar entrar no iTunes aparece isto
      This Apple ID has been locked for security reasons. Visit iForgot to reset your account (https://iforgot.apple.com).

      Responder
    2. Avatar de Joao
      Joao

      Isto serve para bloquear a conta de outra pessoa!
      Utilizei isto numa conta minha dos Estados Unidos que tinha os meus dados à balda e agora não estou a conseguir recuperar a conta.

      Responder
      1. Avatar de Benchmark do iPhone 6
        Benchmark do iPhone 6

        Mas que chatice 😉
        Afinal o iDict não funciona.
        Pesquisa pelo modos de desbloquear contas. Depois da cena das fotografias de celebridades é mais complicado para os que, legitimamente, querem fazer o reset da password por se ter esquecido delas.

        Responder
        1. Avatar de Poeta
          Poeta

          Não funciona, mas já funcionou. Ainda bem que foi corrigido depois da fuga de fotos…

          Responder
          1. Avatar de Benchmark do iPhone 6
            Benchmark do iPhone 6

            O que está mais complicado é fazer o reset das passwords através das perguntas de segurança – quem também se esquecia das perguntas/respostas e tinha um número ilimitado de tentativas até se lembrar deixou de ter.

            O número de tentativas para acertar com a password ficou limitada a cinco (N.B. Nunca foi ilimitado).

            Quem tiver ativado a autenticação em dois passos tem exigências adicionais.

        2. Avatar de Joao
          Joao

          O problema é que não estou a receber nenhum mail na conta associada ao id. Deve estar a ir para o email anterior que já não existe

          Responder
          1. Avatar de João P.
            João P.

            Jovem.. faz outra conta…

  6. Avatar de Lapa
    Lapa

    Essa procura de 500 passwords acho um absurdo.Nunca efectuaria tal coisa,pois passwords difíceis não estão lá na lista.A minha por exemplo .!Brute force pode funcionar sim mas dá um trabalho do caraças,e não sei se chegam lá.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.