Menú principal

sábado, 1 de junio de 2013

Apple 2Factor & Apple iCloud

En un post la gente de ElcomSoft han analizado en detalle la seguridad de la implementación de Apple 2 Factor dejando claro algunas limitaciones muy importantes - como que de momento es opcional - para la seguridad de los terminales, sobre todo con Apple iCloud, por lo que te recomendamos que lo leas en detalle, pero te vamos a hacer un pequeño resumen aquí para que puedas entender lo más importante de lo que han explicado.

Apple iCloud no implementa 2 Factor

El servicio de Apple iCloud puede hacer backup para terminales iPod Touch o iPad WiFi, los cuales no tienen porque tener un teléfono. De hecho, muchos adolescentes tienen iPod Touch y no cuentan con un número de teléfono, por lo que si quisieran hacer uso del servicio de backup y restore en la nube con un 2Factor, no podrían hacerlo. 

Figura 1: Apple iCloud sin verificación en 2 pasos

Esto ha hecho que el sistema permita acceder a Apple iCloud sin usar 2Factor, a pesar de que la protección de la cuenta se haya hecho con 2 Factor. Es por ello que la herramienta de ElcomSoft Phone Password Breaker que permite manejar el backup de iOS en la nube siga funcionando sin necesidad de hacer uso de 2 Factor.

Implementación "a medias"

El uso de SMS como mecanismo de envío tiene además muchas limitaciones. La primera de ellas es que requiere de una operadorade telefonía, con lo que es necesario llegar a acuerdos con ellas en todos los países, por lo que aún Apple no ha desplegado este servicio en todos los países - como por ejemplo España -.

En segundo lugar, el SMS requiere una cuenta de teléfono, así que iPad WiFi o iPod Touch no pueden ser utilizados para recibir SMS, a pesar de que en teoría son dispositivos válidos para ello.

Figura 2: Previsualización de código 2Factor

Para terminar, algunos usuarios tienen la previsualización de SMS activado, lo que haría que cualquier atacante con acceso físico pudiera acceder a esa información sin passcode.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares