iOS e il bug della disattivazione WiFi: in arrivo la patch con iOS 14.7

Ho letto su DDAY.it, un vostro concorrente, una notizia sul fatto che un gruppo di criminali informatici rubava telefoni iPhone e con quelli prelevava soldi dai conti correnti:



Non riporto il link per correttezza.

Questa è la fonte della notizia in portoghese:

https://www1.folha.uol.com.br/cotid...s-vitimas.shtml

Mi chiedo se avete intenzione di dare la notizia.

Comunque in pratica visto che nessuno protegge la SIM con un pin oppure è protetta dal pin standard e non lo modifica nessuno e visto che tutti i metodi di autenticazione fanno riferimento alla SIM e che anche il 2FA fa riferimento alla SIM in ultima analisi, ne scaturisce che basta sottrarre la SIM per avere pieno controllo sui conti correnti on line.

Se ci si pensa un attimo tutti i servizi danno la possibilità di recuperare le proprie informazioni tramite la proprietà della SIM.

Edit:



https://9to5mac.com/2021/07/07/braz...stolen-iphones/

ho letto l'articolo. mettere "iphone" nell'articolo è solo da acchiappaclick.
per il resto si parla di recuperare credenziali dalla app "note" e altre cosette particolari.
come per i bancomat se ti rubano il telefono la prima cosa è bloccare la sim e personalmente per fare bonifici ho bisogno del token fisico. potrei dilungarmi ma evito.
io magari sarò troppo premuroso per la gestione contante su smartphone ma a leggere l'articolo le vittime sono totali sprovveduti

Questi criminali usano una strategia che è efficace perché molto diffusa. I giornali raccontano che quasi tutti memorizzano le password (anche quella di sblocco del iPhone) dentro l'iPhone (per esempio nell'app note). Visto che nessuno protegge questi file con password il criminale può ripristinare dal cloud i file su un altro iphone e fare una ricerca del termine "password" e trovare le password che cerca. Inolte (edit) si specifica che tramite il gestore delle password comunque si hanno queste informazioni.

Poi bloccare la SIM se il telefono ti viene rubato non è proprio facilissimo perché ti devi accorgere subito del furto, devi andare in un negozio con un documento (che magari ti hanno rubato) e magari sei più preoccupato di bloccare la carta di credito. Poi magari sei lontano da casa per cui dare dello sprovveduto è capace solo quello che parla col senno di poi (di cui sono piene le fosse).

Poi quanto tempo impiegano per svuotarti il conto corrente e quanto tempo impieghi tu a realizzare che sulla SIM si basa il tuo conto corrente? Credo che nessuno sappia che sulla SIM si basa l'inviolabilità del C/C. Certo viene in mente di telefonare alla banca ma si farà in tempo?

ma è dai tempi dello startac che la prima cosa da fare è chiamare il numero verde per bloccare la sim. fai che chiamino in giappone.
in teoria basta una chiamata al numero verde per bloccare la sim.
poi mi scrivi che la gente mette come sfondo le password? cosa posso dire se non "cavoli loro"? mi spiace per i derubati ma se scrivo sulla porta di casa "la porta è aperta, la cassaforte è nel soggiorno e il codice è 1234" non sono proprio un genio

Vuoi dirmi che se voglio e ho il numero di telefono di Bill Gates (facebook list) posso bloccare il suo telefono?

immagino bill gates si sia preso delle precauzioni con la propria sim, poche settimane un mio conoscente (aimè non era bill gates e nemmeno steve cook) ha bloccato telefonicamente la sim smarrita

https://www.altroconsumo.it/hi-tech...-vari-operatori

Per sbloccare il conto corrente, almeno con la mia Banca, non bastano più user e password ma occorre o l'autenticazione a due fattori tramite OTP o (meglio) il sensore biometico per le impronte digitali. Ovvio che un terminale con importanti dati va protetto con il PIN SIM e magari pure col la crittografia alla partenza.

Quindi, riassumendo, devi:
- scriverti la password nelle note
- non avere le note protette
- non avere un PIN sulla SIM - o lasciare quello di default, che però non deve essere casuale (mai avuto in PIN che di default non fosse casuale)
- non aver attivato un metodo di autenticazione biometrica per il telefono
- non usare app che te lo chiedono.

E poi? Lasci il telefono sul tavolo al bar e dopo 2 ore ti accorgi che "me l'hanno rubato!!11!!1"?

In quale modo il problema è l'iPhone, e non l'utente demente a cui evidentemente non frega assolutamente niente della sicurezza?

Dato che mi pare ci sia una certa confusione e comunque credo che alcuni abbiano risposto alla questione sollevata da Sandro kensan vorrei provare a fare chiarezza:

Intanto ecco qui il link all'articolo della concorrenza:

Il rischio delle SIM fisiche: come i criminali brasiliani accedevano ai dati bancari sugli iPhone

O almeno credo sia questo perché la fonte è un articolo diverso da quello proposto:

https://www1.folha.uol.com.br/cotidiano/2021/07/consigo-desbloquear-todos-os-modelos-de-iphone-diz-criminoso-que-invade-contas-bancarias.shtml"]Posso sbloccare tutti i modelli di iPhone", dice il criminale che irrompe nei conti bancari[/URL]

Facendo un sunto si parla come del fatto che mentre gli esperti di sicurezza pare abbiano sempre fallito nel aprire gli iphone i criminali riescano senza problemi a scavalcare tutti i sistemi di sicurezza compresi quelli biometrici come riconoscimento facciale e impronte digitali,



Stando all'articolo quello che fanno queste bande e strappare di mano il telefono mentre l'untente lo sta usando e quindi è sbloccato, attivare la fotocamera per impedire che il telefono possa bloccarsi, e poi attivare la modalità aereo per impedire che venga rintracciato e aggiungerei che si possa comunicare da remoto, a questo punto si mette la sim in un altro telefono (da qui copio incollo la traduzione di google)

"In seguito, ha iniziato a fare ricerche sui social network (soprattutto Facebook e Instagram) per scoprire quale account fosse collegato a quel numero di linea.

Successivamente, ha iniziato a cercare l'indirizzo e-mail utilizzato dalla vittima per eseguire il backup dei contenuti del dispositivo, in particolare nei cloud di iCloud e Google Drive, prima cercato dalle estensioni @gmail.com.

Quando scarica le informazioni dal cloud sul nuovo dispositivo, inizia a cercare lì le informazioni legate alla parola “password” e, secondo lui, di solito ottiene i numeri e gli accessi del suo cellulare e dei conti bancari.

Dopo aver ottenuto queste informazioni, restituisce la sim al cellulare della vittima e, con le password in mano, passa il dispositivo al membro della banda responsabile dell'accesso ai conti e del trasferimento di tutto ciò che può sui conti bancari arancioni."


Credo che comunque questi siano degli esempi, perché l'articolo parte dicendo che anche Iphone scarichi e spenti (che quindi non potevano essere sbloccati nel momento del furto) sono stati ugualmente violati

Ad ogni modo l'articolo linkato da Sandro Kessen stesso ci fa sapere che il problema non riguarda solo IOS e che anzi queste bande pare prediligano i telefoni non protetti o con Android, presumibilmente ancora più semplici da sbloccare.

Per inciso, questo non ha alcun senso, se hai il telefono sbloccato puoi vedere benissimo l'indirizzo e-mail collegato ad iCloud nelle impostazioni.