Crack della password dei backup più semplice su iOS 10, Apple prepara il fix

Crack della password dei backup più semplice su iOS 10, Apple prepara il fix

La compagnia Elcomsoft ha sviscerato un grave problema di sicurezza con i backup su iOS 10. La compagnia di Cupertino è consapevole della situazione ed è attualmente al lavoro su un fix

di pubblicata il , alle 12:11 nel canale Apple
AppleiOSiPhoneiPadiPod
 

iOS 10 utilizza un meccanismo di verifica password del tutto nuovo per i backup che, secondo alcuni test effettuati da Elcomsoft, è più semplice da hackerare rispetto al precedente. La compagnia è specializzata in software d'accesso ai dati presenti sugli iPhone e ha dimostrato che il nuovo metodo utilizzato su iOS 10 "salta certi controlli di sicurezza", consentendo ai software della società di accedere alle password dei backup "circa 2.500 volte più velocemente".

Con i dispositivi iOS gli utenti possono effettuare backup protetti da crittografia tramite iTunes su PC o Mac. A differenza dei backup tradizionali, quelli crittografati vengono protetti da password scelte dagli utenti, le quali su iOS 10 sono più semplici da decifrare rispetto alle stesse su iOS 9. Ottenendo la password di un backup su iTunes si ottengono di riflesso tutti i dati presenti sullo smartphone, fra cui le credenziali d'accesso del Portachiavi con tutte le informazioni sensibili ad esse legate.

iOS 10, problemi di sicurezza con i backup

"Abbiamo un'implementazione embrionale con il recupero che avviene tutto sulla CPU. Il nuovo controllo di sicurezza è circa 2.500 volte più debole rispetto a quello passato utilizzato per i backup di iOS 9", ha scritto Elcomsoft. Di seguito riportiamo quante password possono provare i sistemi della compagnia con diversi setup:

  • iOS 9 (CPU): 2.400 password al secondo con un Intel Core i5
  • iOS 9 (GPU): 150.000 password al secondo con una NVIDIA GeForce GTX 1080
  • iOS 10 (CPU): 6.000.000 password al secondo (Intel i5)

Apple è passata dall'algoritmo di hashing PBKDF2 con 10 mila interazioni all'algoritmo SHA256 a interazione singola, elemento che comporta un significativo aumento di velocità in caso di attacco brute force. La compagnia è consapevole di questa "caratteristica" del nuovo modello e tramite un portavoce ha fatto sapere di essere al lavoro su un fix:

"Sappiamo del problema che riguarda la forza della crittografia per i backup sui dispositivi con iOS 10 quando effettuano il backup su Mac o PC. Sistemeremo il problema su un aggiornamento di sicurezza in arrivo. Precisiamo che la problematica non si presenta con i backup su iCloud. Raccomandiamo agli utenti di utilizzare PC o Mac protetti con password complesse e che i sistemi vengano utilizzati solo da utenti autorizzati. Un'ulteriore strato di sicurezza è garantito dalla cifratura completa del disco FileVault".

Apple è al lavoro sui primi aggiornamenti "corposi" di iOS 10 e macOS Sierra. Nei giorni scorsi ha rilasciato le beta (anche pubbliche) di iOS 10.1 e macOS Sierra 10.12.1, con il primo che introduce l'attesa modalità Portrait su iPhone 7 Plus.

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TheDarkAngel26 Settembre 2016, 12:14 #1
Si vede che avevano la necessità di far "ispezionare" qualche backup di ios10 Questo non è un bug, è stata una scelta ponderata.
MoodM26 Settembre 2016, 12:23 #2
Originariamente inviato da: TheDarkAngel
Si vede che avevano la necessità di far "ispezionare" qualche backup di ios10 Questo non è un bug, è stata una scelta ponderata.




A proposito avete notizie su come hanno fatto qua solo qualche giorno fa alla Pippa?


Hackerato iCloud di Pippa Middleton: volevano poi vendere le sue foto

[B]http://www.huffingtonpost.it/2016/0...n_12166532.html[/B]
TheDarkAngel26 Settembre 2016, 12:27 #3
Originariamente inviato da: MoodM
A proposito avete notizie su come hanno fatto qua solo qualche giorno fa alla Pippa?


Hackerato iCloud di Pippa Middleton: volevano poi vendere le sue foto

[B]http://www.huffingtonpost.it/2016/0...n_12166532.html[/B]


Dato lo spessore culturale, direi social engineering, è la forma più efficace oppure avrà usato la data di nascita più il nome come password
MoodM26 Settembre 2016, 12:32 #4
Originariamente inviato da: TheDarkAngel
Dato lo spessore culturale, direi social engineering, è la forma più efficace oppure avrà usato la data di nascita più il nome come password




Non so..nn vorrei che sentendo cosa dice sempre Tim Cook abbiano creduto che fosse tutto sicuro su Apple volendo anche senza password o qualsiasi tipo di eventuale Brute Force..sempre per passaparola
turcone26 Settembre 2016, 13:14 #5
penso che la sicurezza di apple ormai sia solo un'idea nella testa dei propri clienti basta vedere tutti i furti di foto personali e messaggi sono al 90% su dispositivi apple
se vuoi qualcosa di sicuro di sicuro non puoi prendere un device apple
GTKM26 Settembre 2016, 13:52 #6
Originariamente inviato da: turcone
penso che la sicurezza di apple ormai sia solo un'idea nella testa dei propri clienti basta vedere tutti i furti di foto personali e messaggi sono al 90% su dispositivi apple
se vuoi qualcosa di sicuro di sicuro non puoi prendere un device apple


I furti di foto personali e messaggi non sono avvenuti da iCloud? E non è che magari i motivi sono dovuti al fatto che gli utenti sono i primi a non proteggere i propri effetti personali? Se metti 123 come password, i dati te li fregano da qualsiasi posto.
turcone26 Settembre 2016, 14:18 #7
Originariamente inviato da: GTKM
I furti di foto personali e messaggi non sono avvenuti da iCloud? E non è che magari i motivi sono dovuti al fatto che gli utenti sono i primi a non proteggere i propri effetti personali? Se metti 123 come password, i dati te li fregano da qualsiasi posto.


ennesimo esempio di chi da la colpa all'utente invece che all'azienda : il fappening è avvenuto grazie alla mancanza di sicurezza di icloud ( apple ) dato che era possibile fare attacchi brute force sugli account e anche se avevi una password "sicura" poteva essere craccata
quindi la sicurezza è quasi sempre un problema dell'azienda che non crea dei sistemi in grado di garantire la sicurezza poi penso che ormai le password semplici ( 12345 admin etc etc ) se non le blacklisti è colpa dell'azienda se dopo mi entrano dato che ha permesso che un utente si sentisse sicuro con quella password
PS : ho fatto una prova su google e M$ le password semplici sono segnalate e non puoi mettere nemmemo l'account come password
MoodM26 Settembre 2016, 15:07 #8
Originariamente inviato da: GTKM
I furti di foto personali e messaggi non sono avvenuti da iCloud? E non è che magari i motivi sono dovuti al fatto che gli utenti sono i primi a non proteggere i propri effetti personali? Se metti 123 come password, i dati te li fregano da qualsiasi posto.




credo che anche la Leotta di Sky abbia aggiornato subito l'iPhone a iOs10 anche se nn viene parlato esplicitamente di quale Sistema Mobile per motivi di immagine dello stesso

[B]
http://www.ilmessaggero.it/primopia...ky-1976542.html[/B]

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^