iDictPy: Herramienta para hacer ataques de diccionario a cuentas de Apple

iDictPy

Se ha publicado una herramienta llamada iDictPy para hacer ataques de diccionario a las cuentas Apple ID, permitiendo conseguir la contraseña asociada a un identificador haciendo pruebas con una lista de palabras. Esta herramienta, escrita en Python, utiliza un concepto similar a la que utilizó id_Brute - también escrita en el mismo lenguaje - atacando el sistema de autenticación de Find My iPhone. En este caso, esta herramienta utiliza peticiones proxy para enviar cada petición por un servidor distinto, consiguiendo de esta forma eludir la limitación de intentos de autenticación desde una determinada IP.

Para utilizar la herramienta, como cuentan en HackPlayers, es necesario configurarla como una aplicación web en un servidor Apache e instalar Curl en él, para poder lanzar el ataque contra un Apple ID concreto.

Figura 1: Sección de código de iDict

Estas cuentas se utilizan para autenticarse en Apple iCloud y acceder al backup - tal y como se vio en el caso del Celebgate, para activar o desactivar Activation Lock, para poder acceder a Find My iPhone, y en definitiva para controlar todos los dispositivos Apple asociados a esa cuenta. Se recomienda activar Verificación en 2 Pasos, también en los servicios de Apple iCloud.