iOS e il bug della disattivazione WiFi: in arrivo la patch con iOS 14.7

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/apple/...147_99113.html

La nuova beta di iOS 14.5 include la patch che risolve il problema della disattivazione WiFi in presenza di nomi di rete con il carattere di percentuale

Click sul link per visualizzare la notizia.

[Sandro kensan]

Ho letto su DDAY.it, un vostro concorrente, una notizia sul fatto che un gruppo di criminali informatici rubava telefoni iPhone e con quelli prelevava soldi dai conti correnti:

Quote:

In Brasile i criminali riescono ad accedere ai conti bancari delle persone dopo aver sottratto loro gli iPhone. E non ci riescono sfruttando una debolezza del sistema operativo, o meglio non direttamente: ai criminali serve solo la SIM fisica all’interno del telefono; ottenuta quella arrivare ai dati bancari è un gioco da ragazzi.

Non riporto il link per correttezza.

Questa è la fonte della notizia in portoghese:

https://www1.folha.uol.com.br/cotidi...-vitimas.shtml

Mi chiedo se avete intenzione di dare la notizia.

Comunque in pratica visto che nessuno protegge la SIM con un pin oppure è protetta dal pin standard e non lo modifica nessuno e visto che tutti i metodi di autenticazione fanno riferimento alla SIM e che anche il 2FA fa riferimento alla SIM in ultima analisi, ne scaturisce che basta sottrarre la SIM per avere pieno controllo sui conti correnti on line.

Se ci si pensa un attimo tutti i servizi danno la possibilità di recuperare le proprie informazioni tramite la proprietà della SIM.

Edit:

Quote:

Basically, thieves take the SIM card out of the stolen iPhone and then put it into another iPhone. Using social networks like Facebook and Instagram, they can easily find out the email address used by the person who had the phone stolen. In most cases, this email address is the same as the one used for the Apple ID. All they need to do is reset the Apple ID password using the victim’s phone number.

Barbeiro says that the easiest way criminals have to find passwords is by looking in the Notes app since many users seem to store bank and credit card passwords there. However, with access to the iCloud account, they can easily get all the passwords from the iCloud Keychain as well.

When they download data from the cloud to the new device, they search for information linked to the word “password” and, according to them, they usually get what they need to access the victim’s bank accounts. Once they have this information, they return the SIM card to the victim’s phone and give the device to the gang member responsible for access the bank accounts.

https://9to5mac.com/2021/07/07/brazi...tolen-iphones/

[TorettoMilano]

Quote:

Originariamente inviato da Sandro kensan

Ho letto su DDAY.it, un vostro concorrente, una notizia sul fatto che un gruppo di criminali informatici rubava telefoni iPhone e con quelli prelevava soldi dai conti correnti:



Non riporto il link per correttezza.

Questa è la fonte della notizia in portoghese:

https://www1.folha.uol.com.br/cotidi...-vitimas.shtml

Mi chiedo se avete intenzione di dare la notizia.

Comunque in pratica visto che nessuno protegge la SIM con un pin oppure è protetta dal pin standard e non lo modifica nessuno e visto che tutti i metodi di autenticazione fanno riferimento alla SIM e che anche il 2FA fa riferimento alla SIM in ultima analisi, ne scaturisce che basta sottrarre la SIM per avere pieno controllo sui conti correnti on line.

Se ci si pensa un attimo tutti i servizi danno la possibilità di recuperare le proprie informazioni tramite la proprietà della SIM.

ho letto l'articolo. mettere "iphone" nell'articolo è solo da acchiappaclick.
per il resto si parla di recuperare credenziali dalla app "note" e altre cosette particolari.
come per i bancomat se ti rubano il telefono la prima cosa è bloccare la sim e personalmente per fare bonifici ho bisogno del token fisico. potrei dilungarmi ma evito.
io magari sarò troppo premuroso per la gestione contante su smartphone ma a leggere l'articolo le vittime sono totali sprovveduti

[Sandro kensan]

Quote:

Originariamente inviato da TorettoMilano

ho letto l'articolo. mettere "iphone" nell'articolo è solo da acchiappaclick.
per il resto si parla di recuperare credenziali dalla app "note" e altre cosette particolari.
come per i bancomat se ti rubano il telefono la prima cosa è bloccare la sim poi evito di dilungarmi.
io magari sarò troppo premuroso per la gestione contante su smartphone ma a leggere l'articolo le vittime sono totali sprovveduti

Questi criminali usano una strategia che è efficace perché molto diffusa. I giornali raccontano che quasi tutti memorizzano le password (anche quella di sblocco del iPhone) dentro l'iPhone (per esempio nell'app note). Visto che nessuno protegge questi file con password il criminale può ripristinare dal cloud i file su un altro iphone e fare una ricerca del termine "password" e trovare le password che cerca. Inolte (edit) si specifica che tramite il gestore delle password comunque si hanno queste informazioni.

Poi bloccare la SIM se il telefono ti viene rubato non è proprio facilissimo perché ti devi accorgere subito del furto, devi andare in un negozio con un documento (che magari ti hanno rubato) e magari sei più preoccupato di bloccare la carta di credito. Poi magari sei lontano da casa per cui dare dello sprovveduto è capace solo quello che parla col senno di poi (di cui sono piene le fosse).

Poi quanto tempo impiegano per svuotarti il conto corrente e quanto tempo impieghi tu a realizzare che sulla SIM si basa il tuo conto corrente? Credo che nessuno sappia che sulla SIM si basa l'inviolabilità del C/C. Certo viene in mente di telefonare alla banca ma si farà in tempo?

[TorettoMilano]

Quote:

Originariamente inviato da Sandro kensan

Questi criminali usano una strategia che è efficace perché molto diffusa. I giornali raccontano che quasi tutti memorizzano le password (anche quella di sblocco del iPhone) dentro l'iPhone (per esempio nell'app note). Visto che nessuno protegge questi file con password il criminale può ripristinare dal cloud i file su un altro iphone e fare una ricerca del termine "password" e trovare le password che cerca. Inolte (edit) si specifica che tramite il gestore delle password comunque si hanno queste informazioni.

Poi bloccare la SIM se il telefono ti viene rubato non è proprio facilissimo perché ti devi accorgere subito del furto, devi andare in un negozio con un documento (che magari ti hanno rubato) e magari sei più preoccupato di bloccare la carta di credito. Poi magari sei lontano da casa per cui dare dello sprovveduto è capace solo quello che parla col senno di poi (di cui sono piene le fosse).

Poi quanto tempo impiegano per svuotarti il conto corrente e quanto tempo impieghi tu a realizzare che sulla SIM si basa il tuo conto corrente? Credo che nessuno sappia che sulla SIM si basa l'inviolabilità del C/C. Certo viene in mente di telefonare alla banca ma si farà in tempo?

ma è dai tempi dello startac che la prima cosa da fare è chiamare il numero verde per bloccare la sim. fai che chiamino in giappone.
in teoria basta una chiamata al numero verde per bloccare la sim.
poi mi scrivi che la gente mette come sfondo le password? cosa posso dire se non "cavoli loro"? mi spiace per i derubati ma se scrivo sulla porta di casa "la porta è aperta, la cassaforte è nel soggiorno e il codice è 1234" non sono proprio un genio

[Sandro kensan]

Quote:

Originariamente inviato da TorettoMilano

in teoria basta una chiamata al numero verde per bloccare la sim.

Vuoi dirmi che se voglio e ho il numero di telefono di Bill Gates (facebook list) posso bloccare il suo telefono?

[TorettoMilano]

Quote:

Originariamente inviato da Sandro kensan

Vuoi dirmi che se voglio e ho il numero di telefono di Bill Gates (facebook list) posso bloccare il suo telefono?

immagino bill gates si sia preso delle precauzioni con la propria sim, poche settimane un mio conoscente (aimè non era bill gates e nemmeno steve cook) ha bloccato telefonicamente la sim smarrita

https://www.altroconsumo.it/hi-tech/...vari-operatori

[baruk]

Per sbloccare il conto corrente, almeno con la mia Banca, non bastano più user e password ma occorre o l'autenticazione a due fattori tramite OTP o (meglio) il sensore biometico per le impronte digitali. Ovvio che un terminale con importanti dati va protetto con il PIN SIM e magari pure col la crittografia alla partenza.

[giuliop]

Quote:

Originariamente inviato da Sandro kensan

Ho letto su DDAY.it, un vostro concorrente, una notizia sul fatto che un gruppo di criminali informatici rubava telefoni iPhone e con quelli prelevava soldi dai conti correnti:[...]

Quindi, riassumendo, devi:
- scriverti la password nelle note
- non avere le note protette
- non avere un PIN sulla SIM - o lasciare quello di default, che però non deve essere casuale (mai avuto in PIN che di default non fosse casuale)
- non aver attivato un metodo di autenticazione biometrica per il telefono
- non usare app che te lo chiedono.

E poi? Lasci il telefono sul tavolo al bar e dopo 2 ore ti accorgi che "me l'hanno rubato!!11!!1"?

In quale modo il problema è l'iPhone, e non l'utente demente a cui evidentemente non frega assolutamente niente della sicurezza?

[biometallo]

Dato che mi pare ci sia una certa confusione e comunque credo che alcuni abbiano risposto alla questione sollevata da Sandro kensan vorrei provare a fare chiarezza:

Intanto ecco qui il link all'articolo della concorrenza:

Il rischio delle SIM fisiche: come i criminali brasiliani accedevano ai dati bancari sugli iPhone

O almeno credo sia questo perché la fonte è un articolo diverso da quello proposto:

Posso sbloccare tutti i modelli di iPhone", dice il criminale che irrompe nei conti bancari

Facendo un sunto si parla come del fatto che mentre gli esperti di sicurezza pare abbiano sempre fallito nel aprire gli iphone i criminali riescano senza problemi a scavalcare tutti i sistemi di sicurezza compresi quelli biometrici come riconoscimento facciale e impronte digitali,

Quote:

Se a me manca il telefono, la prima cosa che faccio sarà quella di localizzarlo e nel caso non ottengo alcuna risposta di formattare da remoto tutti i dati contenuti nel telefono.

Stando all'articolo quello che fanno queste bande e strappare di mano il telefono mentre l'untente lo sta usando e quindi è sbloccato, attivare la fotocamera per impedire che il telefono possa bloccarsi, e poi attivare la modalità aereo per impedire che venga rintracciato e aggiungerei che si possa comunicare da remoto, a questo punto si mette la sim in un altro telefono (da qui copio incollo la traduzione di google)

"In seguito, ha iniziato a fare ricerche sui social network (soprattutto Facebook e Instagram) per scoprire quale account fosse collegato a quel numero di linea.

Successivamente, ha iniziato a cercare l'indirizzo e-mail utilizzato dalla vittima per eseguire il backup dei contenuti del dispositivo, in particolare nei cloud di iCloud e Google Drive, prima cercato dalle estensioni @gmail.com.

Quando scarica le informazioni dal cloud sul nuovo dispositivo, inizia a cercare lì le informazioni legate alla parola “password” e, secondo lui, di solito ottiene i numeri e gli accessi del suo cellulare e dei conti bancari.

Dopo aver ottenuto queste informazioni, restituisce la sim al cellulare della vittima e, con le password in mano, passa il dispositivo al membro della banda responsabile dell'accesso ai conti e del trasferimento di tutto ciò che può sui conti bancari arancioni."


Credo che comunque questi siano degli esempi, perché l'articolo parte dicendo che anche Iphone scarichi e spenti (che quindi non potevano essere sbloccati nel momento del furto) sono stati ugualmente violati

Ad ogni modo l'articolo linkato da Sandro Kessen stesso ci fa sapere che il problema non riguarda solo IOS e che anzi queste bande pare prediligano i telefoni non protetti o con Android, presumibilmente ancora più semplici da sbloccare.

[giuliop]

Quote:

Originariamente inviato da biometallo

[...]
Successivamente, ha iniziato a cercare l'indirizzo e-mail utilizzato dalla vittima per eseguire il backup dei contenuti del dispositivo, in particolare nei cloud di iCloud e Google Drive, prima cercato dalle estensioni @gmail.com.

Per inciso, questo non ha alcun senso, se hai il telefono sbloccato puoi vedere benissimo l'indirizzo e-mail collegato ad iCloud nelle impostazioni.

[Sandro kensan]

Si dice anche:

Quote:

Barbeiro says that the easiest way criminals have to find passwords is by looking in the Notes app since many users seem to store bank and credit card passwords there. However, with access to the iCloud account, they can easily get all the passwords from the iCloud Keychain as well.

ovvero con un traduttore:

Quote:

Barbeiro dice che il modo più semplice che i criminali hanno per trovare le password è guardare nell'app Note, dato che molti utenti sembrano memorizzare lì le password delle banche e delle carte di credito. Tuttavia, con l'accesso all'account iCloud, possono facilmente ottenere tutte le password anche dal portachiavi di iCloud.

Poi da quel che si capisce leggendo i vari articoli sulla questione è che l'identificazione biometrica è un livello sotto l'Apple ID e che l'Apple ID può essere resettato attraverso il possesso della SIM. Quindi l'identificazione biometrica dovrebbe essere resettabile tramite il possesso della SIM.

Da quel che si capisce l'identificazione biometrica è al livello di una password e quindi con il livello di sicurezza che le compete (basso).

[Sandro kensan]

Quote:

Originariamente inviato da giuliop

- non avere un PIN sulla SIM - o lasciare quello di default, che però non deve essere casuale (mai avuto in PIN che di default non fosse casuale)

Questi sono i PIN standard:

un commentatore di dday.it (dark!tetto) dice:

Quote:

Ho 2 negozi di elettronica, alcuni operatori lo hanno disattivato di default, altri hanno pin standard tipo 0000 (tim) o 1234 (iliad) o 1111 etc etc e comunque quasi tutti (gli utenti) vogliono esserlo (averlo) disattivato.

[biometallo]

Quote:

Originariamente inviato da giuliop

Per inciso, questo non ha alcun senso, se hai il telefono sbloccato puoi vedere benissimo l'indirizzo e-mail collegato ad iCloud nelle impostazioni.

Probabilmente sono stato io a fare confusione e mischiare due attacchi diversi credendo che fossero in successione, ad ogni modo è l'articolo stesso a dirci che c'è dell'alltro

"La polizia ascoltata dal rapporto afferma che alcune invasioni più complesse sono ancora allo studio."

Quote:

Originariamente inviato da Sandro kensan

Da quel che si capisce l'identificazione biometrica è al livello di una password e quindi con il livello di sicurezza che le compete (basso).

Da ignorante credo che una volta che hai la password dell'account puoi proprio disattivare tutti i sistemi di protezione basata sui dati biometrici.

Comunque ammetto che come buona parte delle persone che conosco appena entro in possesso di una sim nuova la prima cosa che ho sempre fatto è disattivare la richiesta del pin, e ho accolto con favore il fatto che in tutte le mie ultime sim (CoopVoce Kena, Very ma mi pare anche ho.mobile) il pin fosse già disattivato

[TorettoMilano]

le casistiche elencate nei commenti non hanno nulla a che fare con gli smartphone:
1) utente sbadato, anche con la cassaforte migliore se la lasci aperta cambia una sega
2) utente minacciato, aimè si ritroverà costretto a dare i propri dati

personalmente ritengo l'unica soluzione per stare "tranquilli" usare un token fisico esterno che se non hai dietro non puoi effettuare operazioni sulla banca

[giuliop]

Quote:

Originariamente inviato da Sandro kensan

Questi sono i PIN standard:

un commentatore di dday.it (dark!tetto) dice:

Ma anche dando per buono che quello che dice un tizio su internet sia necessariamente vero (e ho le mie riserve, come dovresti avercele tu), quale sarebbe la notizia, o la novità?

Il succo della questione è: "se l'utente non fa niente per proteggersi, allora non è protetto", che è un'affermazione tanto vera quanto insignificante.

[cronos1990]

Quote:

Originariamente inviato da giuliop

Quindi, riassumendo, devi:
- scriverti la password nelle note
- non avere le note protette
- non avere un PIN sulla SIM - o lasciare quello di default, che però non deve essere casuale (mai avuto in PIN che di default non fosse casuale)
- non aver attivato un metodo di autenticazione biometrica per il telefono
- non usare app che te lo chiedono.

E poi? Lasci il telefono sul tavolo al bar e dopo 2 ore ti accorgi che "me l'hanno rubato!!11!!1"?

In quale modo il problema è l'iPhone, e non l'utente demente a cui evidentemente non frega assolutamente niente della sicurezza?

Hai dimenticato di dire che sopra l'iPhone ci hanno lasciato anche un post-it con scritto "Welcome"

[aqua84]

Quote:

Originariamente inviato da TorettoMilano

le casistiche elencate nei commenti non hanno nulla a che fare con gli smartphone:
1) utente sbadato, anche con la cassaforte migliore se la lasci aperta cambia una sega
2) utente minacciato, aimè si ritroverà costretto a dare i propri dati

personalmente ritengo l'unica soluzione per stare "tranquilli" usare un token fisico esterno che se non hai dietro non puoi effettuare operazioni sulla banca

Purtroppo la "Tranquillità" deve scontrarsi con la "Comodità".
Sicuramente un token fisico puó avere i suoi vantaggi, ma se me lo dimentico a casa, oppure se lo lascio a casa xche non ho da fare operazioni e improvvisamente ne devo fare una sono impossibilitato.
Se invece me lo porto sempre dietro... allora tanto vale usare lo smartphone.

Io sono dell idea che OGGI ci sia gia un ottimo livello di sicurezza.
Ma bisogna "informatizzare" le persone.

Lo sbadato e/o stupido ci saranno sempre e comunque.
Chi invece era sicuro con pin 1234 lo è anche oggi con le nuove tecnologie.
Bisogna mettersi in testa che la sicurezza al 100% non sarà mai possibile raggiungerla

[giuliop]

Quote:

Originariamente inviato da cronos1990

Hai dimenticato di dire che sopra l'iPhone ci hanno lasciato anche un post-it con scritto "Welcome"

Quote:

Originariamente inviato da TorettoMilano

[...]
personalmente ritengo l'unica soluzione per stare "tranquilli" usare un token fisico esterno che se non hai dietro non puoi effettuare operazioni sulla banca

Ma ci sono ancora banche che te lo forniscono?
I miei sono stati sostituiti, da tempo, dalle app.

[TorettoMilano]

Quote:

Originariamente inviato da aqua84

Purtroppo la "Tranquillità" deve scontrarsi con la "Comodità".
Sicuramente un token fisico puó avere i suoi vantaggi, ma se me lo dimentico a casa, oppure se lo lascio a casa xche non ho da fare operazioni e improvvisamente ne devo fare una sono impossibilitato.
Se invece me lo porto sempre dietro... allora tanto vale usare lo smartphone.

Io sono dell idea che OGGI ci sia gia un ottimo livello di sicurezza.
Ma bisogna "informatizzare" le persone.

Lo sbadato e/o stupido ci saranno sempre e comunque.
Chi invece era sicuro con pin 1234 lo è anche oggi con le nuove tecnologie.
Bisogna mettersi in testa che la sicurezza al 100% non sarà mai possibile raggiungerla

sarò forse troppo giovane ma non ho mai avuto l'urgenza di fare un bonifico online al volo. ad ogni modo se devo effettuare pagamenti ho sempre la carta fisica dietro per ora

Quote:

Originariamente inviato da giuliop

Ma ci sono ancora banche che te lo forniscono?
I miei sono stati sostituiti, da tempo, dalle app.

io ce l'ho ancora e mordo se me lo tolgono