Un bug permette di aggirare Activation Lock di iOS

Un bug permette di aggirare Activation Lock di iOS

Una vulnerabilità scoperta nei mesi scorsi, e già risolta con un aggiornamento di iOS, sembra in realtà essere ancora presente nei dispositivi della Mela e permette di aggirare il blocco di quegli iPhone o iPad persi o rubati

di Andrea Bai pubblicata il , alle 09:51 nel canale Apple
AppleiOS
 

La funzionalità Activation Lock dei dispositivi iOS di Apple è stata aggirata da un gruppo di ricercatori di sicurezza, che hanno divulgato questa settimana quanto scoperto, sfruttando ciò che sembra essere un bug sconosciuto e che potrebbe lasciare iPhone e iPad proni ad attacchi.

Il ricercatore Hemanth Joseph è stato il primo a documentare la vulnerabilità nel corso del mese di novembre, affermato di aver incontrato un bug mentre cercava di bypassare Activation Lock su un iPad acquistato su eBay. Joseph ha scoperto un metodo per mandare in crash il livello software di sicurezza immettendo una stringa di caratteri eccessivamente lunga nel campo dell'immissione del testo nella fase iniziale della configurazione della rete WiFi durante le procedure di attivazione.

Il meccanismo Activation Lock è stato implementato in iOS7 e pensato per impedire che terze parti non autorizzate possano accedere ad un dispositivo iOS perso o rubato. La funzionalità si attiva immediatamente quando viene avviato Find My iPhone e va a registrare l'Apple ID del proprietario del dispositivo su un server di attivazione per una verifica successiva.

Una volta che Activation Lock è stato attivato, chiunque voglia accedere al dispositivo, voglia disattivare Find My iPhone, cancellare i dati del dispositivo o ripristinarlo alle condizioni di fabbrica, deve inserire le credenziali corrette. Dal momento che il sistema compie un controllo incrociato con l'Apple ID e le domande di sicurezza legate alla password e presenti nei server di Apple, si rende necessario l'uso di una connessione internet ed è proprio in questo punto che il ricercatore di sicurezza ha scoperto come aggirare tutto il meccanismo.

Quando un dispositivo protetto da Activation Lock viene acceso, iOS chiede all'utente di connettersi ad una rete WiFi esistente. Joseph è riuscito a creare un errore di overflow selezionando la voce "Altre reti" e inserendo una lunga stringa di testo nei campi "Nome", "Nome Utente" e "Password", ciascuno dei quali non contiene una limitazione al numero di caratteri inseribile. Un solo errore di overflow va a bloccare iOS e non sembra sufficiente per aggirare Activation Lock, ma Joseph è stato in grado di mandare in crash il livello di sicurezza semplicemente chiudendo ed aprendo la Smart Cover dell'iPad, operazione che gli ha consentito di accedere alla schermata home del dispositivo.

Apple ha corretto il problema con il rilascio di iOS 10.1.1 ad ottobre, ma SecurityWeek afferma che i ricercatori di Vulnerability Labs sono stati capaci di ricreare il problema questa volta sfruttando la rotazione dello schermo di iOS e la modalità Night Shift. Con questa modalità l'accesso alla schermata home avviene solo per un momento molto breve, ma i ricercatori di Vulnerability Labs affermano che premendo velocemente il pulsante di accensione è possibile prolungare la permanenza nella schermata home di iOS. Il meccanismo sembra funzionare anche su iPhone. Attualmente non è ancora dato sapere se Apple sia a conoscenza del nuovo problema e abbia già posto rimedio con l'imminente rilascio di iOS 10.2.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
wolf86e02 Dicembre 2016, 13:37 #1
Come ci va a pensare certa gente a queste cose

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^