Con iOS 10 è 2500 volte più facile rubare una password

Ti interessa questa notizia? Condividila sui tuoi social preferiti!

Il nuovo sistema operativo iOS 10 di Apple è dotato di un potenziale buco di sicurezza che potrebbe aiutare gli hacker ad ottenere l’accesso a password e altre informazioni sensibili.

Il software include un nuovo modo per crittografare i backup di iPhone creati tramite iTunes, che fornisce agli hacker una possibilità di gran lunga maggiore di ottenere le password di un bersaglio rispetto alla versione precedente di iOS, secondo la società di recupero password russa Elcomsoft. Gli hacker potrebbero usare un attacco a forza bruta, una tecnica che consiste nel provare diverse combinazioni per indovinare le password degli utenti, rubando così i dati delle carte di credito, e infiltrandosi nel gestore di password di Apple, dove gli utenti memorizzano le password e altri dati di autenticazione.

Secondo Elcomsoft, gli hacker che utilizzano il suo software per recuperare la password, chiamato Breaker Phone, sono in grado di inviare 6 milioni di password al secondo al backup di iOS 10 per cercare di sbloccare i dati. In Apple iOS 9, uscito lo scorso anno, la crittografia limitava i tentativi a 150.000 password al secondo.

La differenza rende 2.500 volte più facile per gli hacker provare ad ottenere la password di iOS 10. Il difetto riguarda solo backup manuali di iPhone e iPad che gli utenti effettuano tramite iTunes e non attraverso iCloud.

ios 10 hacker password informatblog

Trovare modi per accedere a un iPhone e rubare i dati degli utenti può essere quasi impossibile senza conoscere la password di un utente, come dimostra lo sforzo dell’FBI per violare l’iPhone di Syed Farook, killer della strage di San Bernardino, all’inizio di quest’anno. Fino ad iOS 10, Apple aveva reso più difficile per gli hacker di entrare nei dispositivi in ​​ogni versione successiva di iOS.

Nella sua dichiarazione, Elcomsoft ha detto che il modo migliore per gli hacker di entrare in un dispositivo iOS è quello di accedere al computer su cui è memorizzato il backup di iPhone o iPad, un metodo che chiama “acquisizione logica”. Poi, gli utenti possono impiegare il software per l’attacco a forza bruta che cerca milioni di combinazioni di password al secondo.

“Con la password, sarete in grado di decifrare l’intero contenuto del backup tra cui il gestore password”, ha detto Elcomsoft.

Alla radice del problema, e probabilmente il più grande punto di domanda in questo scenario, c’è la decisione di Apple di cambiare la crittografa dei backup effettuati tramite iTunes. Apple in iOS 10 ha utilizzato un algoritmo di protezione tramite password noto come PBKDF2 invece che l’alternativa nota come SHA256 che usava in iOS 9. Secondo Per Thorsheim di God Praksis, PBKDF2 è più vecchio e permette l’attacco alle password più rapidamente. E dal momento che le stesse 10.000 password vengono utilizzate per circa il 30% degli account, software come Phone Breaker di Elcomsoft possono ottenere l’accesso ai dati nel 80% – 90% dei casi, eseguendo il software solo per due giorni.

Ora, gli esperti di sicurezza e chi si preoccupa per la privacy si chiedono il motivo per cui Apple ha fatto questo cambiamento. Thorsheim, per esempio, si chiede se “questo massiccio indebolimento della sicurezza e della privacy sia intenzionale, o se si tratta di un problema tecnico”, o se gli sviluppatori di Apple hanno fatto un errore.

Da parte sua, Apple ha detto che ha progettato di risolvere il problema. La società ha aggiunto che gli utenti Mac che hanno i backup di iTunes memorizzati sui propri dispositivi possono utilizzare FileVault, il software di crittografia del disco di Apple, per aggiungere un ulteriore livello di protezione per i backup di iPhone e iPad.

“Siamo a conoscenza di un problema che riguarda il livello di crittografia per i backup dei dispositivi iOS 10 durante il backup su iTunes su Mac o PC”, ha detto un portavoce di Apple. “Stiamo affrontando la questione in un aggiornamento di sicurezza imminente. Questo non influisce sui backup di iCloud. Consigliamo agli utenti di proteggere i loro Mac o PC con password complesse e renderli accessibili solo dagli utenti autorizzati”. (Fonte)

Loading...

Aggiungi commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *